用于圖形處理單元的安全環(huán)境的制作方法
【專利說明】用于圖形處理單元的安全環(huán)境
[0001]背景
[0002]本文一般涉及有時叫做“圖形處理器”或圖形處理單元的處理圖形。
[0003]處理圖形越來越多遭受要求某些安全度的工作負荷�����。處理圖形上的安全敏感的工作負荷依賴于操作系統來提供必要的安全性��。然而����,越來越多的惡意軟件攻擊暗示這些解決方案不滿足若干個工作負荷的安全性要求。
[0004]可能需要圖形處理單元上的信任計算框架的工作負荷的示例包括其中瀏覽器將事務的一部分分攤到圖形引擎的銀行事務(bank transact1n)�����,其中模式匹配的一部分被分攤到圖形引擎的防病毒引擎���,以及醫(yī)學成像��。另外���,許多非安全性工作負荷還需要附加的安全性,諸如計算機輔助設計����,以及在存在惡意軟件的情況下需要無阻礙的執(zhí)行的圖形及其他工作負荷�����。另外,由于由圖形處理器實現的功率���、效率以及性能改善�,安全敏感的工作負荷正在被分攤給處理圖形����。示例可包括加密功能、模式匹配基元�����、以及臉檢測算法以及用于挖掘��、煉油廠�����、財務計算及涉及貨幣的其他計算的某些工作負荷���。
[0005]安全敏感的工作負荷可能需要處理圖形上的信任框架���,該信任框架不僅實施工作負荷的執(zhí)行的正確性�,而且還將圖形資產的訪問嚴格控制到只有經過授權的實體�。
[0006]附圖簡述
[0007]參考下面的圖形來描述一些實施例:
[0008]圖1是本發(fā)明的一個實施例的示意圖;
[0009]圖2是根據一個實施例的受保護的圖形模塊的生命周期的圖示�����;
[0010]圖3是本發(fā)明的一個實施例的流程圖�����;
[0011]圖4是一個實施例的系統描繪���;以及
[0012]圖5是一個實施例的正面前視圖��。
[0013]詳細描述
[0014]根據一些實施例����,可以為處理圖形定義受保護的執(zhí)行環(huán)境���。此框架不僅防止工作負荷受在圖形處理單元上運行的惡意軟件的破壞��,而且還防止工作負荷受在中央處理單元上運行的惡意軟件的破壞��。另外�,信任框架還可以通過測量用于執(zhí)行工作負荷的代碼和數據結構,來促進安全執(zhí)行的證明���。如果此框架或受保護的執(zhí)行環(huán)境的可信計算基礎的一部分被損害,則可以遠程修補該部分�����,在某些實施例中��,修補可以在證據(attestat1n)中被遠程地證明����。
[0015]參考圖1,常駐在處理圖形上的受保護的圖形模塊�,包含工作負荷在處理圖形中的正確的執(zhí)行所需的代碼、數據���,以及狀態(tài)����。類似于非安全圖形工作負荷,由在中央處理單元(CPU)上運行的軟件通過特殊CPU指令來創(chuàng)建受保護的圖形模塊����。然而,在某些實施例中�����,受保護的圖形模塊只能在圖形處理單元上執(zhí)行�。它可能具有向遠程方斷言執(zhí)行的正確性的能力。在一個實施例中��,模塊依賴于安全飛地(enclave)基礎設施來提供此斷言�。參見在2010年5月20日公開的專利合作條約公開申請?zhí)朩0/2010/057065。
[0016]在安全飛地中��,在應用程序內構建了受保護的執(zhí)行環(huán)境�����。操作系統使用一組特許指令來構建飛地����。一旦構建了飛地,應用程序就可以使用一組無特權的指令來進入和退出飛地��。飛地在存儲器中被叫做飛地頁面緩存的物理受保護的區(qū)域中執(zhí)行。硬件確保屬于飛地頁面緩存的存儲器頁面只能被擁有那些頁面的飛地訪問�����,還確保惡意的有特權的軟件不能以意外的方式重新定向來源于飛地的存儲器訪問����。在飛地內執(zhí)行的軟件可以證明,由操作系統通過基于硬件的證據正確地構建飛地����。
[0017]存儲器14中的圖形頁面緩存18保留由受保護的圖形模塊(PGM) 12使用的代碼和數據����。在一個實施例中,存儲器的此部分在系統動態(tài)隨機存取存儲器(DRAM)中實現��,并由存儲器加密引擎用密碼保護��。在再一個實施例中�����,存儲器的此部分在處理器包內作為靜態(tài)隨機存取存儲器(SRAM)或嵌入式DRAM(eDRAM)來實現����。存儲器的此部分可以由操作系統圖形驅動器使用一組有特權的CPU指令來管理�����。為了讀取或寫入或執(zhí)行����,它可能不能被它們中的任何一項訪問�。模塊12駐留在圖形頁面緩存18內。在一個實施例中���,圖形頁面緩存可以與飛地頁面緩存16相結合����。
[0018]飛地10負責創(chuàng)建并初始化模塊12��。一旦由飛地10創(chuàng)建并初始化模塊���,處理圖形上的各種硬件引擎可以使用特定入口點(entry point)進入模塊12��。另外�����,在模塊啟動之后�����,飛地本身可以執(zhí)行安全計算的某些部分�,并可以通過圖形頁面緩存18與模塊進行通信。在這方面���,飛地10是模塊12的中央處理單元(CPU) 24對應物�����,它可以與模塊12具有一對多關系O
[0019]從開發(fā)人員的角度來看����,飛地10和模塊12兩者都是可選實施例�����。在某些實施例中���,應用程序開發(fā)人員可以判斷應用程序是否需要由飛地和受保護的圖形模塊12的組合所提供的安全級別。
[0020]如此��,在存儲器內,可以有飛地頁面緩存16����、包括模塊12的圖形頁面緩存18,飛地10�,以及用于保持需要的數據和/或指令的一個或多個經加密的表面20。
[0021]處理圖形26�,如圖2所示,包括受保護的圖形模塊12�����,而應用程序28駐留在CPU24內�。CPU 24可包括準時制(準時制)執(zhí)行引擎(抖動器(jitter)) 30以及飛地32。它也可以支持內核驅動器34�。可以在中央處理單元24和處理圖形26之間共享共享虛擬存儲器36��。共享系統存儲器38可以存儲飛地頁面緩存16和圖形頁面緩存18�。
[0022]最初,應用程序28在CPU 24上啟動�。此應用程序通常是在其自己的進程中啟動的回響(ring)3應用程序。應用程序創(chuàng)建飛地32和飛地頁面緩存16���。飛地可以包含用于創(chuàng)建受保護的圖形模塊12的元數據和元代碼�����。飛地還包含用于將模塊元代碼從高級語言轉換為可以被處理器和圖形硬件識別的二進制格式的抖動器30���。飛地還包含用于創(chuàng)建模塊12的元數據和元代碼���。
[0023]為創(chuàng)建模塊12,飛地從圖形工作負荷加載元代碼和元數據���,并使用合適的密碼操作來測量或驗證工作負荷����。這由圖2中的箭頭I和2來表示�。然后,飛地設置圖形頁面緩存18中的模塊12的執(zhí)行所需的處理器圖形狀態(tài)和數據結構�。
[0024]模塊的調用按如下方式進行。飛地通過應用程序請求內核模式圖形驅動器34通過將模塊提供到相關元數據來執(zhí)行模塊���。這由圖2中的箭頭3來表示。內核模式圖形驅動器34(回響O)獲取元數據���,并根據元數據來設置圖形引擎狀態(tài)(箭頭4)��。然后�,內核圖形驅動器將處理圖形通過如由箭頭5所指示的環(huán)形緩沖器37指向模塊12的入口點。內核模式圖形驅動器通過適當地修改共享的虛擬存儲器36表��,來將圖形頁面緩存映射到圖形地址空間�����。
[0025]處理圖形26執(zhí)行模塊12�����,如由箭頭6所指示的���。處理圖形26內的圖形調度器41���,通知驅動器34,然后��,該驅動器34關閉對為模塊12的執(zhí)行提供的圖形頁面緩存的訪問���。當模塊12被再次調度供執(zhí)行時��,圖形驅動器給圖形頁面緩存提供對模塊的訪問�,并執(zhí)行模塊。在模塊完成其執(zhí)行之后��,它將執(zhí)行的其結果39寫入到圖形頁面緩存內的輸出地址���,如由箭頭6所指示的�。在模塊12的創(chuàng)建過程中�����,如在元數據中所指定的�,前面的飛地隨后讀取輸出,并將它提供到在飛地內執(zhí)行的中央處理單元代碼����。
[0026]根據一個實施例,模塊12可以具有定義明確的格式的存儲器以及用于測量模塊的唯一組件并將它們綁定到結果的格式����。微代碼在由飛地執(zhí)行時測量模塊,將用密碼簽名的測量值提供到飛地����。飛地包括模塊的測量值和飛地的測量值�,組合的數據用于使用飛地證據