硬件配置报告系统技术方案

本文中公开了与硬件配置报告和仲裁有关的实施例。例如，一种用于硬件配置报告的装置可以包括：具有受信任的执行环境（TEE）和不受信任的执行环境（非TEE）的处理设备；请求服务逻辑，其存储在存储器中，用以在TEE内操作以从仲裁器逻辑接收请求的指示，其中所述请求表示硬件配置寄存器；以及报告逻辑，其存储在存储器中，用以在TEE内操作并且向仲裁器逻辑报告由所述请求所表示的硬件配置寄存器的值的指示符。可以公开和/或要求保护其它实施例。

【技术实现步骤摘要】
【国外来华专利技术】
本公开内容涉及计算装置，并且更具体地涉及硬件配置报告。
技术介绍
在引导（boot-up）期间使用的硬件配置寄存器的值通常初始通过引导工程师手动配置。因此，恰当的配置经受人为误差，并且手动配置中的错误可能经常没有被检测到。附图说明通过以下结合附图的具体实施方式将容易地理解实施例。为了促进本描述，同样的参考标号标明同样的结构元件。在附图的各图中，实施例作为示例而不是作为限制来被图示。图1是根据各种实施例的硬件配置报告系统的框图。图2是根据各种实施例的具有一个或多个仲裁器逻辑实例化的硬件配置报告系统的框图。图3是根据各种实施例的具有系统管理模式作为受信任的执行环境的硬件配置报告系统的框图。图4是根据各种实施例的包括多个驱动器的报告逻辑的框图。图5是根据各种实施例的用于硬件配置报告的方法的流程图。图6是根据各种实施例的用于硬件配置仲裁的方法的流程图。图7是根据各种实施例的用于硬件配置报告和仲裁的方法的流程图。图8是根据一些实施例的可以被包括在硬件配置报告系统100中的更新系统的框图。图9是根据各种实施例的适合于实践所公开的实施例中的各种实施例的示例性装置的框图。具体实施方式有关硬件配置报告和仲裁的实施例在本文中被公开。例如，用于硬件配置报告的装置可以包括：具有受信任的执行环境（TEE）和不受信任的执行环境（非TEE）的处理设备；请求服务逻辑，其被存储在存储器中，用以在TEE内操作以从仲裁器逻辑接收请求的指示，其中所述请求表示硬件配置寄存器；以及报告逻辑，其被存储在存储器中，用以在TEE内操作并且向仲裁器逻辑报告由所述请求所表示的硬件配置寄存器的值的指示符。如以上所观察到的，负责计算装置的启动操作的工程师可能不经意地或故意地未能恰当地设置某些硬件配置寄存器（其通常共计四十个或更多）。这些误差可能是成本极高的；如果使得对应于访问许可的寄存器“打开”（即没有针对篡改而被锁定），则恶意代码可以利用打开的门并且做出具有影响所有后续性能的潜能的改变。例如，如果使得闪速部分锁定寄存器未被锁定，则可能使母板上的只读存储器（ROM）打开以用于由恶意代码重写。在引导期间，芯片组存储器映射可以将中央处理单元（CPU）指引向闪速部分以执行第一指令。如果这些指令已经被恶意地改变，则CPU可能在任何其它保护就位之前执行恶意代码。本文中所公开的硬件配置报告系统和技术的各种实施例可以使得能够在引导和/或运行时期间检测这样的误差，并且可以使得装置能够采取行动来减轻安全风险或提醒用户注意安全风险。在一些实施例中，管理员或其他经授权的实体可以使用本文中所公开的硬件配置报告系统和技术来得到并且再查看（review）硬件配置信息，并且关于接下来的步骤做出决定（例如根据预定义的安全策略）。在以下详细描述中，对形成其一部分的附图做出参考，其中同样的标号贯穿全文标明同样的部分，并且其中作为说明而示出可以实践的实施例。要理解的是，可以使用其它实施例并且可以做出结构或逻辑改变而不偏离本公开内容的范围。因此，不要以限制性的意义来理解以下详细描述，并且实施例的范围由所附权利要求及其等同物来限定。各种操作可以以在理解所要求保护的主题中最有帮助的方式而被描述为多个分立的动作或依次的操作。然而，描述的次序不应被解释为暗示这些操作必定是次序相关的。特别地，这些操作可以不以呈现的次序来被执行。所述操作可以以与所述实施例不同的次序来被执行。在附加的实施例中可以执行各种附加的操作和/或可以省略所述操作。为了本公开内容的目的，短语“A和/或B”意指（A）、（B）或（A和B）。为了本公开内容的目的，短语“A、B和/或C”意指（A）、（B）、（C）、（A和B）、（A和C）、（B和C）或（A、B和C）。描述使用短语“在实施例中”或“在多个实施例中”，其可以各自指代一个或多个相同或不同的实施例。此外，如关于本公开内容的实施例所使用的术语“包括”、“包含”、“具有”等等是同义的。如本文中所使用的，术语“逻辑”可以是指以下各项、是以下各项的部分或包括以下各项：执行一个或多个软件或固件程序的专用集成电路（ASIC）、电子电路、处理器（共享的、专用的或群组）和/或存储器（共享的、专用的或群组）、组合逻辑电路、和/或提供所述功能性的其它合适组件。图1是根据各种实施例的硬件配置报告系统100的框图。硬件配置报告系统100可以实现在具有处理设备的装置（诸如以下参考图9所讨论的装置900）中，所述处理设备可以在受信任的执行环境（TEE）116中或者一个或多个不受信任的执行环境（非TEE）118中（图2中所图示的）操作。存储将在处理设备处于TEE116中时执行的逻辑的存储器（称为TEE存储器）可以与存储将在处理设备处于非TEE118中时执行的逻辑的存储器隔离，以使得当处理设备处于非TEE118中时操作的逻辑不能访问TEE存储器。处理设备可以被配置成响应于中断而在TEE116和非TEE118之间转变。在一些实施例中，TEE116可以是处理设备的系统管理模式（SMM）。SMM是通常用于管理低层级操作（诸如功率控制和热调节）的处理设备模式。SMM可以具有其自己的、对于在SMM外部操作的逻辑不可见或不可访问的隐藏存储器空间和执行环境。在一些实施例中，SMM可以由装置的基本输入/输出操作系统（BIOS）来安装，并且可以在处理设备接收到系统管理中断（SMI）的时候被进入；在检测到SMI时，非SMM的工作存储器可以被存储以用于稍后重实例化，并且处理设备可以进入SMM。本文中参考BIOS所讨论的实施例可以参考统一可扩展的固件接口（UEFI）而类似地被实现。硬件配置报告系统100可以包括仲裁器逻辑102和报告逻辑104。报告逻辑104可以从TEE中可操作，并且可以与当处理设备处于非TEE118中时执行的逻辑隔离。特别地，报告逻辑104可以存储在TEE存储器中。如以下参考图2所讨论的，仲裁器逻辑102可以操作于TEE116内或非TEE118内。仲裁器逻辑102可以与报告逻辑104通信地耦合。仲裁器逻辑102可以包括请求逻辑106、安全逻辑108和动作逻辑110。仲裁器逻辑102还可以包括存储器156，所述存储器156可以由仲裁器逻辑102的任何组件利用以存储与仲裁器逻辑102的操作相关的数据。请求逻辑106可以被配置成向报告逻辑104提供请求的指示。所述请求可以表示一个或多个硬件配置寄存器，仲裁器逻辑102希望关于所述一个或多个硬件配置寄存器而接收信息。硬件配置报告系统100可以识别一个或多个不同类型的请求。在一些实施例中，所述请求可以是对一个或多个硬件配置寄存器的值的“查询”，响应于所述查询，报告逻辑104可以提供值的指示符。例如，由请求逻辑106提供给报告逻辑104的请求可以是表示闪速部分锁定寄存器的查询；作为响应，报告逻辑104可以提供是“0”值还是“1”值被存储在闪速部分锁定寄存器中的指示。一个值可以指示闪速部分被锁定，并且因而母板ROM不能被更新，而另一个值可以指示闪速部分未被锁定，并且因而母板ROM能够被任何人更新。在一些实施例中，请求可以是对一个或多个硬件配置寄存器的值等于所指定的值的集合的“校验（check）”，响应于所述校验，报告逻辑104可以提供对于硬件配置寄存器的值是本文档来自技高网...

【技术保护点】
一种用于硬件配置报告的装置，包括：具有受信任的执行环境TEE和不受信任的执行环境非TEE的处理设备，其中所述处理设备响应于特定的中断而从非TEE进入到TEE中，并且其中TEE从自非TEE不可访问的存储器中执行；请求服务逻辑，其存储在存储器中，用以在TEE内操作以从仲裁器逻辑接收请求的指示，其中所述请求表示硬件配置寄存器；以及报告逻辑，其存储在存储器中，用以在TEE内操作并且向仲裁器逻辑报告由所述请求所表示的硬件配置寄存器的值的指示符。

【技术特征摘要】
【国外来华专利技术】1.一种用于硬件配置报告的装置，包括：具有受信任的执行环境TEE和不受信任的执行环境非TEE的处理设备，其中所述处理设备响应于特定的中断而从非TEE进入到TEE中，并且其中TEE从自非TEE不可访问的存储器中执行；请求服务逻辑，其存储在存储器中，用以在TEE内操作以从仲裁器逻辑接收请求的指示，其中所述请求表示硬件配置寄存器；以及报告逻辑，其存储在存储器中，用以在TEE内操作并且向仲裁器逻辑报告由所述请求所表示的硬件配置寄存器的值的指示符。2.根据权利要求1所述的装置，其中来自仲裁器逻辑的请求的指示至少部分地基于存储在预定寄存器中的值，所述预定寄存器当处理设备操作于非TEE中时对所述处理设备而言可访问。3.根据权利要求1所述的装置，其中来自仲裁器逻辑的请求的指示至少部分地基于触发处理设备进入到TEE中的特定中断的源。4.根据权利要求1所述的装置，其中仲裁器逻辑在处理设备的非TEE中操作。5.根据权利要求1所述的装置，其中仲裁器逻辑在与所述处理设备不同的第二处理设备上操作。6.根据权利要求1所述的装置，其中仲裁器逻辑在处理设备的TEE中操作。7.根据权利要求1所述的装置，其中所述请求是对硬件配置寄存器的值的查询，并且硬件配置寄存器的值的指示符是硬件配置寄存器的值。8.根据权利要求1所述的装置，其中所述请求是硬件配置寄存器的值等于所指定的值的校验，并且硬件配置寄存器的值的指示符是硬件配置寄存器的值是否等于所指定的值的二进制指示符。9.根据权利要求8所述的装置，其中仲裁器逻辑是操作于处理设备的基本输入/输出操作系统（BIOS）中的驱动器执行环境（DXE）脚本。10.根据权利要求1所述的装置，其中所述请求服务逻辑还确定多个驱动器中的哪一个能够访问由所述请求所表示的硬件配置寄存器，并且与所确定的驱动器通信以服务所述请求。11.根据权利要求1所述的装置，其中仲裁器逻辑是在引导时执行的基本输入/输出操作系统（BIOS）阶段仲裁器。12.根据权利要求1所述的装置，其中TEE是系统管理模式。13.一种用于硬件配置仲裁的方法，包括：由计算逻辑向处理设备的受信任的执行环境TEE的报告逻辑提供来自应用的请求的指示，其中：所述处理设备具有TEE和不受信任的执行环境非TEE，所述处理设备响应于特定的中断而从非TEE进入到TEE中，所述TEE从自非TEE不可访问的存储器中执行，所述报告逻辑被存储在存储...

【专利技术属性】
技术研发人员：姚颉文，VJ齐默，BS佩恩，NJ亚当斯，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US