同構雙計算系統的處理器和同構雙計算系統的操作方法技術方案

一種建立同構雙計算系統用的處理器。處理器提供同構的一可信核、以及一主核。該可信核具有訪問一系統存儲器上一隔離存儲器的權限。該主核是禁止訪問該隔離存儲器的一般核中的任意核。該可信核具有一第一密碼模塊，在該可信核重置后，進行固件校驗，令該可信核運行一可信固件啟動該處理器。可信固件啟動該處理器。可信固件啟動該處理器。

【技術實現步驟摘要】
同構雙計算系統的處理器和同構雙計算系統的操作方法


[0001]本專利技術是關于一種可信計算。

技術介紹

[0002]可信計算是以硬件劃分方式提高計算機安全性。例如，計算機的系統存儲器可劃分出隔離存儲器，只準許具有權限的可信平臺進行存取。
[0003]如何架構提供可信計算的計算機，進而安全啟動此計算機，為本
重要課題。如此計算機架構下，可信計算、以及一般計算之間的通信技術，也是設計重點。

技術實現思路

[0004]本專利技術提供一種同構雙計算系統，以同一處理器兩個同樣結構的核，提供可信計算、以及一般計算。本專利技術技術是以同一處理器多個核中的一核為可信核，并在其它核(又稱一般核)中擇一主核。如此一來，可信計算無需另外以外設、或專屬架構的運算核實現，實現更方便。
[0005]所述處理器可為單芯片處理器，也可以是多芯片處理器。本專利技術還為此處理器設計安全啟動、以及安全中斷，確保可信計算的高安全性。
[0006]根據本專利技術一種實施方式實現的一處理器包括一可信核、以及一主核。該可信核具有訪問一系統存儲器上一隔離存儲器的權限。該主核與該可信核同構，該主核是禁止訪問該隔離存儲器的一般核中的任意核。該可信核具有一第一密碼模塊，在該可信核重置后，進行固件校驗，令該可信核運行一可信固件啟動該處理器。
[0007]一種實施方式中，該可信核操作該第一密碼模塊先校驗可信固件的簽名，校驗通過之后該可信核還運行該可信固件，操作該第一密碼模塊進行基本輸入輸出系統校驗，使該可信核所喚醒的該主核，運行一可信基本輸入輸出系統。
[0008]一種實施方式中，該可信核喚醒該主核運行該可信基本輸入輸出系統后，即進入睡眠狀態，待該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接，再由該主核喚醒。經該主核喚醒后，該可信核運行該可信固件，操作該第一密碼模塊進行加載的操作系統的校驗，以運行一可信操作系統。
[0009]一種實施方式中，經該主核喚醒運行該可信固件的該可信核，還回報該主核，已獲知插槽或芯片間鏈接建立，使該主核運行該可信基本輸入輸出系統，操作該主核內的一第二密碼模塊進行加載的操作系統的校驗，以運行一主操作系統。
[0010]一種實施方式中，該可信核是以安全核間中斷，安全喚醒該主核運行該可信基本輸入輸出系統。該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接后，是以安全核間中斷，安全喚醒該可信核運行該可信固件。該可信核是以安全核間中斷安全回報該主核，已獲知插槽或芯片間鏈接建立。
[0011]一種實施方式中，運行該可信操作系統的該可信核、以及運行該主操作系統的一般核是以安全核間中斷，通過該系統存儲器提供的一共享存儲器通信。
[0012]一種實施方式中，該處理器還包括一中斷處理模塊，屏蔽、或通過一般核對該可信核發出的中斷。該中斷處理模塊允許通過的中斷，包括點對點安全核間中斷、以及需要多個核進行同步的外部中斷等。。
[0013]一種實施方式中。該中斷處理模塊屏蔽該可信核的一些非必要的內部中斷。
[0014]一種實施方式中，該處理器還包括一特別模塊限定寄存器，在該處理器啟動時設定，使該特別模塊限定寄存器各位對應標示一種類的中斷的屏蔽與否。
[0015]一種實施方式中，該處理器為單芯片處理器。該主核以及該可信核由單一芯片提供。
[0016]一種實施方式中，該處理器為多芯片處理器，除了包括一第一芯片，還包括其他芯片。該第一芯片暫時規劃有該可信核、以及該主核，使該第一芯片上，該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接。其他芯片各自暫時規劃一芯片上可信核、以及一芯片上主核。各芯片上，所述芯片上可信核進行固件校驗，并以通過校驗的固件進行基本輸入輸出系統校驗，使所述芯片上主核運行通過校驗的基本輸入輸出系統建立插槽或芯片間鏈接。待各芯片鏈接建立，所有芯片統一提供一系統可信核、以及一系統主核，分別安全加載、且運行一可信操作系統、以及一主操作系統。
[0017]基于前述概念，本專利技術還有一種實施方式，提供一種同構雙計算系統操作方法，包括：規劃一處理器的多個核，令一可信核具有訪問一系統存儲器上一隔離存儲器的權限，且令與該可信核同構的一主核屬禁止訪問該隔離存儲器的一般核；以及在該可信核重置后，以該可信核的一第一密碼模塊，進行固件校驗，令該可信核運行一可信固件啟動該處理器。
[0018]下文特舉實施例，并配合附圖，詳細說明本
技術實現思路
。
附圖說明
[0019]圖1圖解隔離存儲器概念；
[0020]圖2A根據本專利技術一種實施方式圖解單芯片處理器實現的同構雙計算系統；
[0021]圖2B根據本專利技術一種實施方式圖解雙芯片處理器實現的同構雙計算系統；
[0022]圖3根據本專利技術一種實施方式圖解同構雙計算系統的一種安全啟動流程；
[0023]圖4為方塊圖，根據本專利技術一種實施方式圖解同構雙計算系統的硬件；
[0024]圖5根據本專利技術一種實施方式圖解同構雙計算系統的軟件運行架構；以及
[0025]圖6根據本專利技術一種實施方式圖解安全中斷的實施硬件。
具體實施方式
[0026]以下敘述列舉本專利技術的多種實施例。以下敘述介紹本專利技術的基本概念，且并非意圖限制本
技術實現思路
。實際專利技術范圍應依照權利要求進行界定。
[0027]圖1圖解隔離存儲器概念。兼有可信計算能力的一計算機100包括多個一般核(normal cores)102_1～102_N(N為數字)、一可信核(trusted core)104、以及一系統存儲器(如動態隨機存取存儲器DRAM
…
等)106，且對應設計有一可信基本輸入輸出系統(trusted BIOS)108、以及一可信固件(trusted firmware)110。一般核102_1
…
102_N中可有一主核作為自舉處理器(boot strap processor，簡稱BSP)，以加載、并運行一主操作系統(host OS)112。可信核104運行一可信操作系統(trusted OS)114。系統存儲器106采用分
level cache)LLC，且通過主機互聯結構(Host Interconnection Fabric，簡稱HIF)，存取系統存儲器106。圖例核coreN被選為可信核104，運行可信固件110。剩下核core0～coreN
?
1即前述多個一般核102_#(#為編號)，其中，核core0為主核(BSP)，運行可信基本輸入輸出系統108。系統存儲器106中，隔離存儲器116所儲存的隔離數據可能高速緩存于最末級高速緩存LLC，僅允許核coreN實現的可信核存取。八核作為示例。
[0034]一種實施方式中是通過基本輸入輸出系統(BIOS)或微碼擴充文件(ucode patch)，變更其他核作為可信核110。一種實施方式是配置一特別模塊限定寄存器(Model
?
Specific Register，簡稱MSR)，令各位對應一本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種用于建立一同構雙計算系統的處理器，包括：一可信核，具有訪問一系統存儲器上一隔離存儲器的權限；以及一主核，與該可信核同構，是禁止訪問該隔離存儲器的一般核；其中，該可信核具有一第一密碼模塊，在該可信核重置后，進行固件校驗，令該可信核運行一可信固件啟動該處理器。2.如權利要求1的處理器，其中：所有一般核、以及該可信核重置后，該可信核啟動，而所有一般核進入睡眠狀態；該可信核操作該第一密鑰模塊進行固件簽名校驗，確定該可信固件，并運行該可信固件，以操作該第一密鑰模塊進行基本輸入輸出系統校驗，確定一可信基本輸入輸出系統，再喚醒該主核；以及該主核經該可信核喚醒后，運行該可信基本輸入輸出系統。3.如權利要求1的處理器，其中：該可信核還運行該可信固件，操作該第一密碼模塊進行基本輸入輸出系統校驗，使該可信核所喚醒的該主核，運行一可信基本輸入輸出系統。4.如權利要求3的處理器，其中：該可信核喚醒該主核運行該可信基本輸入輸出系統后，即進入睡眠狀態，待該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接，再由該主核喚醒；以及經該主核喚醒后，該可信核運行該可信固件，操作該第一密碼模塊進行加載的操作系統的校驗，以運行一可信操作系統。5.如權利要求4的處理器，其中：經該主核喚醒運行該可信固件的該可信核，還回報該主核，已獲知插槽或芯片間鏈接建立，使該主核運行該可信基本輸入輸出系統，操作該主核內的一第二密碼模塊進行加載的操作系統的校驗，以運行通過校驗的一主操作系統。6.如權利要求5的處理器，其中：該可信核是以核間中斷，安全喚醒該主核運行該可信基本輸入輸出系統；該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接后，是以安全核間中斷，安全喚醒該可信核運行該可信固件；以及該可信核是以安全核間中斷回報該主核，已獲知插槽或芯片間鏈接建立。7.如權利要求6的處理器，其中：運行該可信操作系統的該可信核、以及運行該主操作系統的一般核是以安全中斷，通過該系統存儲器提供的一共享存儲器通信。8.如權利要求7的處理器，還包括：一中斷處理模塊，屏蔽、或通過一般核對該可信核發出的中斷，其中，該中斷處理模允與通過的中斷，包括點對點安全的核間中斷、以及需要多核同步的外部中斷等。9.如權利要求8的處理器，其中：根據必要性，該中斷處理模塊還屏蔽該可信核的局部內部中斷，且允許該可信核的其他內部中斷。10.如權利要求9的處理器，還包括：
一特別模塊限定寄存器，在該處理器啟動時設定，使該特別模塊限定寄存器各位對應標示一種類的中斷的屏蔽與否。11.如權利要求7的處理器，為單芯片處理器，該主核以及該可信核由單一芯片提供。12.如權利要求3的處理器，為多芯片處理器，還包括：一第一芯片，暫時規劃有該可信核、以及該主核，使該第一芯片上，該主核運行該可信基本輸入輸出系統建立插槽或芯片間鏈接；其他芯片各自暫時規劃一芯片上可信核、以及一芯片上主核；各芯片上，所述芯片上可信核進行固件校驗，并以通過校驗的固件進行基本輸入輸出系統校驗，使所述芯片上主核運行通過校驗的基本輸入輸出系統建立插槽或芯片間鏈接；以及待各芯片鏈接建立，所有芯片統一提供一系統可信核、以及一系統主核，分別安全加載、且運行一可信操作系統、以及一主操作系統。13.一種同構雙計算系統操作方法，包括：規劃一處理器的多個核，令一可信核具有訪問一系統存儲器上一隔離存儲器的權限，且令與該可信核同構...

【專利技術屬性】
技術研發人員：黃振華，管應炳，李艷婷，薛剛汝，李明秀，
申請(專利權)人：上海兆芯集成電路有限公司，
類型：發明
國別省市：