[发明专利]旁路保护

说明书

在各种示例中存在经由通信网络与至少一个其他计算设备进行通信的计算设备。计算设备具有存储器和中央处理单元，该中央处理单元具有包括存储器的可信区域的可信执行环境。计算设备具有操作系统，该操作系统被配置为在存储器的虚拟地址空间和至少一个其他计算设备的存储器之间创建存储器映射，并且将存储器映射的细节提供给可信执行环境。可信执行环境被配置为执行能够直接使用由操作系统提供的存储器映射与其他计算设备进行通信的应用。

背景技术

旁路攻击涉及通过观察敏感代码的影响来获得关于敏感代码的信息。

许多不同类型的旁路攻击已被发现针对敏感代码发生。用于减轻这种攻击的先前尝试经常是针对特定类型的旁路攻击定制的，这使得难以给予全面的保护。

下文所描述的实施例不限于解决已知旁路攻击保护机制的任何或者全部缺点的实现。

发明内容

下文展现本公开的简化摘要以便为读者提供基础的理解。本摘要不旨在识别所要求权利主题的关键特性或者基本特性，也不旨在被用于限制所要求权利主题的范围。它的唯一目的是以简化形式展现本文所公开概念的选集，以作为之后展现的更详细描述的前奏。

在各种示例中，存在经由通信网络与至少一个其他计算设备通信的计算设备。该计算设备具有存储器和中央处理单元，该中央处理单元具有包括存储器的可信区域的可信执行环境。计算设备具有操作系统，该操作系统被配置为在存储器的虚拟地址空间和至少一个其他计算设备的存储器之间创建存储器映射，并且将存储器映射的细节提供给可信执行环境。可信执行环境被配置为执行能够直接使用由操作系统提供的存储器映射与其他计算设备进行通信的应用。

通过参考以下被考虑关于附图的详细描述，许多伴随的特性将更容易被理解

附图说明

根据附图阅读以下详细描述将更好地理解本描述

图1是具有可信执行环境的计算设备104的示意图；

图1A是具有可信执行环境的另一计算设备的示意图；

图2是图1的计算设备的虚拟存储器地址空间的示意图；

图3是一种方法的流程图，该方法使在可信执行环境中执行的软件能够与远程计算设备进行通信并且具有一些情况下的旁路保护；

图4是图3的流程图并且具有在可信执行环境内通过原子化的执行的旁路保护；

图5是实现原子性方法的流程图；

图6是实现原子性的另一种方法的流程图；

图7图示了基于计算的示例性设备，该设备中具有旁路保护的可信执行环境的实施例被实现。

相似的参考数字在附图中被用于指定相似的部分。

具体实施方式

下文所提供的关于附图的详细描述旨在作为本示例的描述，并且并非旨在代表本示例被构建或者被利用的唯一形式。本描述阐述了示例的功能以及针对构建和操作示例的操作序列。然而，相同或等价的功能和序列也可以通过不同的示例被实现。

本发明人认识到多核处理器中的旁路攻击涉及到恶意代码，该恶意代码能够观察敏感代码对多核处理器的共享资源的影响。多核处理器被广泛使用于数据中心和其他部署，并且数据中心和其他部署经常存在多个数据中心租户或者其他用户。使用多核处理器的一个核心的恶意租户能够通过观察对共享资源的影响来获得关于在其他核心之一上执行的敏感代码信息。在安全性重要的情况下(诸如在敏感代码被执行的情况下)，旁路攻击是重要的问题。