公开了用于在多租户服务器环境中安全地擦除诸如FPGA的可重新配置逻辑设备的分区的方法和装置。在一个示例中,安全地擦除FPGA的方法包括识别FPGA中先前编程的资源的一个分区,通过将新值存储在所识别的分区的存储器或存储元件中来擦除所识别的分区,并将新值存储在电连接到集成电路并与识别的分区相关联的附加外部资源的存储器或存储元件中。因此,防止其他分区和所识别的分区的后续用户访问安全擦除的数据。可由主计算机通过DMA访问的配置电路可被编程到FPGA可重新配置逻辑中,以执行所公开的擦除操作。
Control access to previously stored logic in reconfigurable logical devices
【技术实现步骤摘要】
【国外来华专利技术】控制在可重新配置逻辑设备中访问先前存储的逻辑
技术介绍
云计算是使用在远程位置可用并且可通过诸如因特网的网络访问的计算资源(硬件和软件)。在一些布置中,用户能够根据需求服务购买这些计算资源(包括存储和计算能力)作为实用程序。云计算将用户的数据、软件和计算交托给远程服务。虚拟计算资源的使用可以提供许多优点,包括成本优势和/或快速适应变化的计算资源需求的能力。可以通过使用协处理器来加速一些计算,包括利用可重新配置逻辑实现的加速器(例如,在现场可编程门阵列(FPGA)中。FPGA开发者通常将具有专用接口的本地主计算机连接到支持JTAG接口的本地FPGA的外部引脚,以加速映射到FPGA的功能。因此,在云计算环境中使用这种加速器,通常缺乏FPGA专用硬件和安全功能,提供了充分的改进机会。附图说明图1是示出如可以在所公开技术的某些示例中实现的系统的示例的系统图,该系统包括用于管理配置数据和编程可重新配置逻辑设备的逻辑储存库服务。图2是示出逻辑储存库服务的示例架构的系统图。图3是概述如可以在所公开的技术的某些示例中实现的包括可在重新编程之前清除的应用程序逻辑的系统的示例配置的框图。图4示出了可以由逻辑储存库服务执行的配置数据的摄取和生成的示例。图5示出了图4的示例系统的进一步细节,该系统包括用于配置和接口到可配置硬件平台的控制平面和数据平面的组件。图6是概述在虚拟化可重新配置逻辑设备中清理数据的示例方法的流程图。图7是概述在虚拟化可重新配置逻辑设备中清理数据的示例方法的流程图。图8是示出在包括逻辑储存库服务的多租户环境中运行的多个虚拟机实例的示例系统图。图9描绘了其中可以实现某些所描述的创新的合适计算环境的一般化示例。专利技术详述用于在一组可重复使用的通用计算资源内提供专用计算资源的一种解决方案是提供包括可配置逻辑平台的服务器计算机(诸如通过向服务器计算机提供包括可重新配置逻辑设备的附加卡,例如现场可编程门阵列(FPGA))作为通用计算资源的选择。可配置逻辑是可以编程或配置为执行由配置数据的应用指定的逻辑功能的硬件。例如,计算资源的用户可以提供规范(例如,以硬件描述语言(例如,Verilog、SystemVerilog和/或VHDL)或其他语言(例如,C、C++和/或SystemC)编写,在使用原理图捕获应用程序生成的网表中,或在由脚本生成的网表中),用于配置可配置逻辑。可配置逻辑可以根据规范进行配置,配置的逻辑可以用于为用户执行任务。然而,允许用户访问计算设施的低级硬件可能潜在地在计算设施内引入安全性和隐私问题。例如,由于可重新配置逻辑设备和相关组件(例如,耦合到可重新配置逻辑设备的存储器和其他电路)通常将被云环境中的许多用户使用,因此存储在设备和相关组件中的数据对于计算设施内资源的后续用户不应该是可读的。在允许用户访问低级硬件(包括虚拟化可重新配置逻辑设备中的可重新配置硬件)中出现的问题包括相同可重新配置逻辑设备资源的后续用户可以通过检查可重新配置逻辑设备内的存储器和存储元件的状态以及诸如可重新配置逻辑器件可访问的存储器的附加资源来获得对敏感用户数据的访问权的可能性。所公开的技术包括用于隔离,清除和/或清理存储在可重新配置逻辑设备中的数据和相关联的附加资源的技术。如本文所使用的,术语“隔离”是指配置可重新配置逻辑设备的一部分,以便在逻辑上将分区与可重新配置逻辑设备内的其他电路分离。因此,隔离使得隔离的分区对于可重新配置逻辑设备内的其他分区(例如,其他用户主机进程)不可访问,以及使得隔离的分区不会受到可重新配置逻辑设备外部的其他设备(例如,计算主机上的其他用户进程)的未授权访问。例如,通过重新编程将分区连接到设备内其他分区的逻辑,通过重新编程互连,通过置位或取消置位控制接口电路(例如三态门、传输门和/或多路复用器)的控制信号,可以隔离设备。在一些示例中,隔离配置操作允许在设备内的其他分区中操作的逻辑在隔离,清除和清理所选分区时继续操作。如本文所使用的,“清除”是指通过使用由可重新配置逻辑设备的硬件资源提供的复位功能来复位存储在存储器和/或存储元件中的值。清除的示例是将配置比特流应用于FPGA的配置端口,其中配置比特流使得FGPA被配置为复位或其他已知状态,其阻止对存储器和/或存储元件中的先前存储的数据的访问。在一些示例中,配置比特流用于重新配置设备中的可重新配置逻辑的局部部分,而在其他示例中,配置比特流用于重新配置所有可重新配置逻辑。在一些示例中,FPGA包括可以通过在FPGA的I/O上置位信号来应用的复位功能。在一些示例中,可以通过将专用比特流应用于可重新配置逻辑设备并执行局部重新配置来执行清除可重新配置逻辑设备的动作。通过执行局部重新配置,可重新配置逻辑设备的逻辑和其他用户分区以及任何管理程序或主机分区可以维持其编程和状态。因此,多个用户可以同时占用可重新配置逻辑设备的不同部分,并且这些相同用户可以在他们完成使用分区之后清除和清理它们的分区。在一些示例中,当清除所选分区中的逻辑时,在其他分区中操作的逻辑及其相关联的存储器设备可以继续正常操作。如本文所使用的,术语“清理”是指利用电路执行一系列操作以清理存储在电路的存储器或存储单元中的值。如相关领域的普通技术人员将容易理解的,可以通过例如写入诸如全零、全1或全部已知模式(例如,0xdeadbeef)的已知值集合,或者通过存储随机值来替换电路中先前存储的值来从存储器或存储元件中清理数据。在一些示例中,清理可重新配置逻辑设备的分区的动作可以通过操作配置在可重新配置逻辑设备内的专用逻辑并执行局部重新配置来执行。例如,诸如锁存器和触发器之类的存储设备的备选输入(例如,数据输入、置位/清除/复位、扫描或其他合适的输入)可以从清理器电路接收已知值以复位存储的值。在一些示例中,存储器可以提供执行该功能的复位或置位引脚,清理器电路可以迭代以通过存储器的多个地址执行多次写入,或者一组有效位可以与存储器输出上的多路复用器一起使用,用于提供存储在存储器地址中的数据值或复位值。在一些示例中,清理器电路可以使用多读取端口存储器的端口来在先前存储的值上写入已知数据值。在一些示例中,当正在清理所选分区中的逻辑时,在其他分区及其相关联的存储器设备中操作的逻辑可以继续正常操作。通常,在隔离期间,防止可重新配置逻辑设备的其他用户或管理员请求访问它们各自的分区,但是在一些示例中,管理程序分区或用户分区可以被配置为在这些动作中提供对分区的至少部分访问。通过仅对可重新配置设备的一部分和/或相关资源执行清除和/或清理,可重新配置逻辑设备的其他用户分区中的用户逻辑和存储器以及任何管理程序或主机分区可以维持其编程和状态,而被识别的部分被擦除。因此,多个用户可以同时占用可重新配置逻辑设备的不同部分,并且这些相同用户可以在他们完成使用分区之后,例如,在终止用户计算主机实例时清除和清理它们的分区。如本文所述,计算服务设施可包括各种计算资源,其中一种类型的计算资源可包括服务器计算机(可替代地称为主计算机),该服务器计算机包括可配置逻辑平台。可配置逻辑平台可以由计算机系统的用户编程或配置,使得计算资源的硬件(例如,可配置逻辑)由用户定制。例如,用户可以对可配置逻辑进行编程,使其充当紧密耦合到服务器计算机的硬件加本文档来自技高网...
【技术保护点】
1.一种方法,包括:响应于从可重新配置的硬件平台接收到擦除应用程序数据的请求:识别可重新配置逻辑设备中先前编程的资源的分区;将新值存储在所识别分区的存储器或存储元件中;识别与所识别的可编程资源的分区相关联的附加资源;以及将新值存储在所述附加资源的存储器或存储元件中。
【技术特征摘要】
【国外来华专利技术】2016.09.30 US 15/282,1481.一种方法,包括:响应于从可重新配置的硬件平台接收到擦除应用程序数据的请求:识别可重新配置逻辑设备中先前编程的资源的分区;将新值存储在所识别分区的存储器或存储元件中;识别与所识别的可编程资源的分区相关联的附加资源;以及将新值存储在所述附加资源的存储器或存储元件中。2.根据任一前述权利要求所述的方法,其中,在所识别的分区中存储新值包括:通过所述可重新配置逻辑设备的配置端口在所述可重新配置逻辑设备中配置清除逻辑,以改变所述存储器或存储元件中的值。3.根据任一前述权利要求所述的方法,其中,在终止包括所述可重新配置逻辑主机的实例时生成所述请求。4.根据任一前述权利要求所述的方法,其中,从在耦合到所述可重新配置逻辑设备的主计算机上执行的管理程序进程接收所述请求。5.根据任一前述权利要求所述的方法,其中,所述可重新配置逻辑设备包括由在主计算机上执行的管理程序进程控制的主机分区,并且其中,在所识别的分区中执行存储新值包括操作所述主机分区内的电路以清理存储在所识别的分区中的值。6.根据任一前述权利要求所述的方法,还包括:重新配置所识别的分区的逻辑以包括清理器电路,其中所述清理器电路执行将所述新值存储在所识别的分区的存储器或存储元件中或将新值存储在所述附加资源的存储器或存储元件中。7.根据任一前述权利要求所述的方法,其中,所识别的分区包括耦合到所述附加资源的清理器电路,并且其中,所述方法还包括:操作所述清理器电路以执行将所述新值存储在所述附加资源中。8.根据任一前述权利要求所述的方法,其中,所述可重新配置逻辑设备包括多个分区,所述分区包括所识别的分区,所述方法还包括:继续操作其他分区中的电路,同时在所识别的分区的存储器或存储元件中执行存储新值。9.根据任一前述权利要求所述的方法,其中:该方法还包括通过可重新配置逻辑主机从逻辑储存库数据库接收清...
【专利技术属性】
技术研发人员:M·B·戴维斯,E·伊森伯格,R·M·约翰逊,A·克汉,I·M·H·A·M·阿塔,N·柏莎拉,C·J·佩蒂,
申请(专利权)人:亚马逊技术有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。