用于可信计算的多节点中枢制造技术

在此公开了用于信任操作的多节点中枢的实施例。在某些实施例中，多节点中枢可以包括多个存储器区域、捕获模块以及可信平台模块(TPM)组件。每个存储器区域可以与一致性计算节点相关联并从其接收信任操作数据。所述捕获模块可以响应于由所述相关联的一致性计算节点对所述多个存储器区域的访问来生成捕获通知。所述捕获通知可以指示已经访问了所述多个存储器位置中的哪一个存储器位置，并且所述TPM组件可以对在由捕获通知所指示的存储器区域中的所述信任操作数据进行处理。可公开和/或要求保护其他实施例。

【技术实现步骤摘要】
【国外来华专利技术】相关申请本申请要求于2014年3月25日提交的标题为“用于可信计算的多节点中枢(MULTINODE HUBS FOR TRUSTED COMPUTING)”的美国申请14/225,140的优先权，该申请的全部内容通过引用以其整体结合在此。
本公开总体上涉及可信计算领域，并且更具体地涉及用于可信计算的多节点中枢(Multinode Hub)。
技术介绍
可信平台模块(TPM)硬件用于许多计算装置中从而为装置的操作提供可信根。TPM硬件通常被实现为离散的芯片组，并且一个TPM硬件单元与集成电路(IC)封装体的每个一致性计算节点相关联。传统的IC封装体仅包括单个一致性计算节点(以及因此单个TPM芯片组)；然而，某些当前的和未来的封装体可以包括两个、四个或更多个一致性计算节点。为多节点IC封装体体中的每个节点包括离散的TPM芯片组可能占用较大的装置占用面积并且要求大量资源，这可能限制在IC封装体中包括多个节点的益处。然而，现有的TPM芯片组仅与单个节点对接，并且因此现有的系统无法在多节点封装体中复制这种TPM芯片组。附图说明结合附图，借助于下面的详细描述将很容易理解实施例。为了方便本描述，相同的参考标号指示相同的结构元素。通过举例而非通过限制在附图的各图中展示了实施例。图1是根据各实施例的包括多节点中枢的计算系统的框图。图2是根据各实施例的说明性一致性计算节点的框图。图3描绘了根据各实施例的说明性存储器区域。图4是根据各实施例的说明性TPM组件的框图。图5是根据各实施例用于向多节点中枢提供初始化信息的说明性过程的流程图。图6是根据各实施例用于监控对存储器区域的访问的说明性过程的流程图。图7是根据各实施例用于由TPM模块处理来自多个一致性计算节点的信任操作数据的说明性过程的流程图。图8是适合用于实践所公开的实施例中的示例计算平台的框图。具体实施方式在此公开了用于信任操作的多节点中枢的实施例。在某些实施例中，多节点中枢可以包括多个存储器区域、捕获模块以及可信平台模块(TPM)组件。每个存储器区域可以与一致性计算节点相关联并从其接收信任操作数据。所述捕获模块可以响应于由所述相关联的一致性计算节点对所述多个存储器区域的访问来生成捕获通知。所述捕获通知可以指示已经访问了所述多个存储器位置中的哪一个存储器位置，并且所述TPM组件可以对在由捕获通知所指示的存储器区域中的所述信任操作数据进行处理。在此公开的多节点中枢的各实施例可以在可持续地随着IC封装体中的一致性计算节点的数量扩展的平台控制器中枢中提供可信计算解决方案。具体地，在此公开的各实施例克服了现有的TPM无法用多于一个一致性计算节点操作的问题。这种问题至少部分地基于现有的TPM与节点(例如，低引脚数(LPC)、串行外围接口(SPI)和增强型SPI(eSPI))之间的接口，这些接口在单个一致链路之外是不可操作的。因此，使用常规的方法在多节点封装体中实现TPM功能可能需要为封装体中的每个节点复制TPM芯片组。在某些实施例中，在此公开的多节点中枢可以在片上系统(SoC)、用于云的机架规模架构或微型服务器拓扑中对嵌入式安全处理器(例如，以下讨论的TPM组件110)进行复用。另外，在此公开的多节点中枢的各实施例从一致性计算节点的角度可以像专用于该一致性计算节点的TPM(即使可以在多个一致性计算节点之间共享TPM功能)。在此公开的多节点中枢可以被实现为使用TPM功能的总体安全架构的一部分，许多级沿着装置通路(例如，从服务器到手持式装置)。在某些实施例中，多节点中枢可以为多个节点中的每个节点提供缓冲器并且针对机架规模架构、微型服务器拓扑及其他为节点之间的秘密提供保护。在此公开的多节点中枢和相关技术可以通过高效地使能篡改检测来改善计算系统对恶意攻击的抵抗力。在以下详细描述中，参考形成其一部分并且通过可实践的说明实施例示出的附图，其中，相同的标号指示相同的部件。应当理解，可以在不脱离本公开的范围的情况下利用其他实施例并且可以进行结构或逻辑上的改变。因此，下面的详细说明不应被认为具有限制意义，并且实施例的范围由所附权利要求书及其等效物限定。可以以对理解要求保护的主题最有帮助的方式将各种操作依次描述为多个分立动作或操作。然而，描述的顺序不应被解释为暗示这些操作一定是顺序相关的。具体地，可以不按所呈现的顺序来执行这些操作。可以按与所描述的实施例不同的顺序来执行所描述的操作。可以执行各种附加的操作和/或可以在附加实施例中省略所描述的操作。为了本公开的目的，短语“A和/或B”是指(A)、(B)或(A和B)。为了本公开的目的，短语“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)，或(A、B和C)。本描述可使用短语“在实施例中(in an embodiment)”或“在各实施例中(in embodiments)”，这些短语可各自指代相同或不同实施例中的一个或多个。此外，如关于本公开的实施例使用的术语“包括(comprising)”、“包括(including)”、“具有(having)”等是同义的。如在此所使用的，术语“模块”或“组件”可指代以下各项、作为以下各项的一部分、或包
括以下各项：特定用途集成电路(“ASIC”)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用或分组)和/或存储器(共享、专用或分组)、组合式逻辑电路、和/或其他合适的提供所描述的功能性的组件。如在此所使用的，“TPM”可以指代计算装置的可以通过执行密码操作、记录平台组件(例如，基本输入输出系统(BIOS)、管理程序或其他软件组件)的测量值来改善该计算装置的安全操作的组件。如在此所使用，“BIOS”可以指代操作系统与平台固件之间的接口并且可以包括统一可扩展固件接口(UEFI)。图1是根据各实施例的包括多节点中枢120的计算系统100的框图。计算系统100可以包括多个一致性计算节点102a-n，该多个节点可以与多节点中枢120耦合。如在此所使用，“n”可以表示大于等于2的任何期望的整数值。对“一致性计算节点102”的引用可以指代一致性计算节点102a-n中的任何一个或多个节点。尽管可以在以下讨论计算系统100的各个元件并且在图1中将其示出为离散的元件，可以在合适时组合或重新安排各个元件。例如，在某些实施例中，存储器区域104a-n可以被包括在TPM组件110中。在某些实施例中，捕获模块106可以被包括在TPM组件110中。这些示例仅仅是说明性的，并且可以实现与在此公开的技术相一致的任何组合或重新安排。在某些实施例中，可以至少在被编程到适当的硬件中的固件中实现多节点中枢120。例如，在某些实施例中，与多节点中枢120相关联的固件可以被布置在不可重写存储器中。在某些实施例中，与多节点中枢120相关联的固件可以被包括在UEFI平台初始化(PI)系统管理模式(SMM)驱动器中，如以下另外详细讨论的。如图1所示，单个一致性计算节点102a-n可以分别经由相关联的通信链路112a-n与多节点中枢120的相关联的存储器区域104a-n耦合。对“存储器区域104”或“通信链路112”的引用可以分别指代存储器区域104a-n或通信链路112a-n中的任何一个或多本文档来自技高网...

【技术保护点】
一种多节点中枢，包括：多个存储器区域，每个存储器区域与多个一致性计算节点之一相关联并且用于从所述相关联的一致性计算节点接收信任操作数据；捕获模块，所述捕获模块与所述多个存储器区域耦合，用于响应于由所述相关联的多个一致性计算节点对所述多个存储器区域的访问来生成捕获通知，其中，捕获通知指示已经访问了所述多个存储器区域中的哪一个存储器区域；以及可信平台模块(TPM)组件，所述TPM组件与所述捕获模块耦合，用于对在由捕获通知所指示的存储器区域中的信任操作数据进行处理。

【技术特征摘要】
【国外来华专利技术】2014.03.25 US 14/225,1401.一种多节点中枢，包括：多个存储器区域，每个存储器区域与多个一致性计算节点之一相关联并且用于从所述相关联的一致性计算节点接收信任操作数据；捕获模块，所述捕获模块与所述多个存储器区域耦合，用于响应于由所述相关联的多个一致性计算节点对所述多个存储器区域的访问来生成捕获通知，其中，捕获通知指示已经访问了所述多个存储器区域中的哪一个存储器区域；以及可信平台模块(TPM)组件，所述TPM组件与所述捕获模块耦合，用于对在由捕获通知所指示的存储器区域中的信任操作数据进行处理。2.如权利要求1所述的多节点中枢，其中，所述TPM组件用于验证与由所述捕获通知所指示的所述存储器区域相关联的所述一致性计算节点的基本输入/输出系统(BIOS)的完整性，作为对在由所述捕获通知所指示的所述存储器区域中的所述信任操作数据的处理的一部分。3.如权利要求1所述的多节点中枢，其中，所述TPM组件用于验证与由所述捕获通知所指示的所述存储器区域相关联的所述一致性计算节点的管理程序发起，作为对在由所述捕获通知所指示的所述存储器区域中的所述信任操作数据的处理的一部分。4.如权利要求1所述的多节点中枢，进一步包括不可重写存储器，其中，与所述多节点中枢相关联的固件被布置在所述不可重写存储器中。5.如权利要求1所述的多节点中枢，其中，所述多节点中枢以及所述多个一致性计算节点被包括在集成电路封装体中。6.如权利要求1所述的多节点中枢，进一步包括一条或多条串行或并行总线，所述总线用于将所述多个一致性计算节点与所述相关联的多个存储器区域耦合以便使所述多个一致性计算节点能与所述相关联的多个存储器区域通信。7.如权利要求1所述的多节点中枢，其中，所述多节点中枢被包括在与包括所述多个一致性计算节点中的至少一个一致性计算节点的封装体分离的集成电路封装体中。8.如权利要求1所述的多节点中枢，其中，所述多个存储器区域用于从所述相关联的一致性计算节点的操作系统接收信任操作数据。9.如权利要求1至8中任一项所述的多节点中枢，其中，所述多个存储器区域的基地址被包括在所述相关联的一致性计算节点的高级配置和电源接口(ACPI)表中。10.如权利要求1至8中任一项所述的多节点中枢，其中，所述多个存储器区域用于经由直接存储器访问(DMA)传输从所述相关联的一致性计算节点接收信任操作数据。11.如权利要求1至8中任一项所述的多节点中枢，进一步包括统一可扩展固件接口(UEFI)平台初始化(PI)系统管理模式(SMM)驱动器，所述SMM驱动器具有与所述多节点中枢相关联的固件。12.如权利要求1至8中任一项所述的多节点中枢，其中，所述TPM组件包括存储器，并且其中，所述TPM组件用于处理来自所述存储器中与不同一致性计算节点相关联的存储器区域的信任操作数据。13.一种具有多节点中枢的计算系统，所述计算系统包括：多个一致性计算节点；以及所述多节点中枢，其中，所述多节点中枢包括：多个存储器区域，每个存储器区域与所述多个一致性计算节点之一相关联并且用于从所述相关联的一致性计算节点接收信任操作数据；捕获模块，所述捕获模块与所述多个存储器区域耦合，用于响应于由所述相关联的多个一致性计算节点对所述多个存储器区域的访问来生成捕获通知，其中，捕获通知指示已经访问了所述多个存储器区域中的哪一个存储器区域；以及可信平台模块(TPM)组件，所述TPM组件与所述捕获模块耦合，用于对在由捕获通知所指示的存储器区域中的信任操作数据进行处...

【专利技术属性】
技术研发人员：R·C·斯旺森，D·奈米罗夫，V·J·齐默，M·布鲁苏，J·R·林斯利，R·W·科恩，M·特瑞范迪，P·维兹斯基，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US