[发明专利]超安全加速器

说明书

用于超安全加速器的方法和装置。提供了具有包装密钥(WK)的新的ISA入队(ENQ)指令，以促进对计算机平台和系统中的片上加速器和片外加速器的安全访问。具有WK的ISA ENQ指令包括具有加速器门户的地址的dest操作数以及具有系统存储器中的请求描述符的地址的scr操作数，该请求描述符定义了要由加速器执行的作业并且包括包装密钥。对指令的执行将包括src和WK的记录写入门户，并且如果槽位可用，则将该记录入队到加速器队列中。加速器读取入队的请求描述符，并且使用WK来解包经包装的密钥，然后将该密钥用于解密从存储器中的一个或多个缓冲器读取的经加密的数据。然后，加速器对由作业定义的经解密的数据执行一个或多个功能，并且利用可选的加密将处理的输出写回到存储器中。

背景技术

近年来，数据分析和“大数据”处理已经变得越来越重要。数据分析和大数据工作负载要求处理大量数据。处理这种大量数据的一种方法是将处理任务跨大量的服务器分布并且并行处理工作负载。例如，Apache Hadoop软件框架使得任务能够跨大量的商品服务器分布并且使用MapReduce处理工作负载。尽管Hadoop和MapReduce提供了出色的可扩展性，但它们要求大量的服务器间通信(在以大规模实现时)，并且不能高效地使用处理器和存储器资源。

例如用于数据分析和大数据的一些计算密集且存储器带宽密集的工作负载难以利用处理器核心获得所要求的性能水平。为了解决这个问题，已经开发了所谓的“加速器”。加速器最初被实现为与CPU(中央处理单元)耦合的组件，并且作为具有其自己的地址空间的IO(输入输出)设备被管理，这要求显著的IO通信水平以在加速器地址空间与在系统存储器地址空间中运行的应用之间传输数据。最近，已经引入了采用具有嵌入式加速器的片上系统(SoC)架构的CPU。

加速器的能力已经稳定地改进，其中最近最重要的趋势中的一个是具有“共享虚拟存储器”(SVM)能力的加速器。传统的加速器需要在其自己的个人地址空间中作为IO设备被管理；这是利用昂贵的内核模式驱动程序(KMD)来完成的，该KMD需要应用在用户与内核空间之间来回交叉，从而固定存储器中的页面或将用户缓冲器复制到由OS/内核模式驱动程序管理的特殊缓冲器中/从由OS/内核模式驱动程序管理的特殊缓冲器中复制用户缓冲器。利用SVM，加速器或IO设备可以直接在CPU上运行的用户应用线程的地址空间上工作，因为加速器或IO设备与用户应用线程共享相同的虚拟-物理地址转换能力。(从数据移动的角度来看)这是加速器效率的关键改进，使得能够将用户模式(经由“用户模式驱动程序”或UMD)直接提交给加速器，并且带来更简单的编程模型和采用。

在用户空间中执行加速器线程的一个问题是安全性。在常规方法下，将要求加速器具有带有密钥处理能力的综合密码处理器，以及用于要在CPU核心和加速器之间建立的安全会话的相关协议，由此可以使用基于密钥的加密来传输秘密材料。这种传输不太可能在用户模式下完成。如果调用内核模式驱动程序来发起这种传输，则将丢失用于数据处理的用户模式访问的所有收益。

附图说明

当结合附图时，因为通过参考以下具体实施方式，本发明的前述方面和伴随的优点中的许多变得更好理解，所以本发明的前述方面和伴随的优点中的许多将变得更加容易被认识到，其中，除非另有说明，否则在各个视图中相同的附图标记指代相同的部分：

图1是包括一个或多个片上加速器的第一平台架构的示意图；

图2是包括一个或多个片外(off-chip)加速器的第二平台架构的示意图；

图3a是示出根据一个实施例的片上加速器的进一步的细节的示意图；

图3b是示出根据一个实施例的片外加速器的进一步的细节的示意图；

图4是示出根据一个实施例的Enq_with_WK_v1指令、其操作数和请求描述符的细节的示意图；

图5a是示出根据一个实施例的由Enq_with_WK_v1指令执行的操作和逻辑的流程图；