一种用于保护至少一个IO设备的访问和操作的计算机实现的系统,所述系统包括: 至少一个消费者,其被安排以便发起来自所述IO设备的IO请求,所述IO请求包括IO能力分配和附加参数; IO资源管理器(IORM),其被安排以便将包括在所述IO请求中的所述附加参数和所述IO能力分配转换成用于所述消费者或用于一组消费者的一组能力令牌,生成全局密钥来保护所述一组能力令牌,并且进一步被安排以便管理所述IO设备;以及 通道组件,其被安排以便将所述IO请求传送至所述IO设备以及从所述IO设备接收所述IO请求。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及计算机和处理器体系结构的领域。特别地,本专利技术涉 及一种使用凭证对IO设备进行访问保护和提供安全的方法和系统。
技术介绍
通过现在参照的图1,可以概念性和示意性地说明大多数当前的个人 计算机(PC)系统(从台式计算机到服务器)的体系结构。PC系统10通常包括存储器20,其可以被包括在一个或多个处理单元 12内,或者可以与之分离。处理单元12通常经由一才艮或多才艮IO总线16 (例如,外设组件互连(PCI)总线)与10设备14[l卜14[i相耦合。视情况,为了使处理单元12与IO设备14-14之间的连接更快速, PC系统10还可以包括与处理单元12进行通信并且控制与存储器20和IO 总线16的交互的一个或多个组件,例如北桥单元18。通常,10总线16具有平面存储器(flat memory)和IO地址空间。 通常在引导时间进行IO设备搜索,并且将所发现的每个IO设备映射到物 理存储空间和IO地址空间。该PC体系结构具有若干缺点其并不与系统目4艮好地成比例,这 使得难以与属于不同PC的其它IO总线进行互连,并且其提供即使有也是 非常有限的IO设备床护。理论上,通常与处理单元12的CPU 26相耦合的存储管理单元(MMU) 24可以用于保护IO设备11]-1i的存储空间。然而,10地址空间通常不被MMU24管理,并且因此IO地址空间不 受保护。此外,在具有多个CPU的系统中,或者在具有多个分区的虚拟化 系统中,每个CPU或分区通常都具有对IO总线的完全访问。因而,具有 特权许可(privileged permission )的任何过程(例如,操作系统过程)均 可以访问任何IO设备。解决该问题的一种已知方式是通过托管分区(hosting partition )将所 有请求传递至IO设备。在这种情况下,设备受到保护,因为托管分区是 可信实体,并且只有其被允许访问该设备。笫二种已知的方式是使用多个 IO设备,每个IO设备均被分派到不同的分区。在这种情况下,信任操作 系统不访问未向其分派的i殳备。托管分区解决方案通常加重了系统资源的 负担,而将IO设备分派给不同分区的解决方案在具有无害的误配置或有 缺陷的代码的流珉操作系统的情况下是失效的。通过使用IO存储管理单元(IOMMU)和/或访问列表(其通常记录 给予任何过程的IO访问权限),可以进行保护IO设备的其它尝试。
技术实现思路
依照本专利技术的一些实施例,提供了一种用于保护IO设备的访问和操 作的方法和系统,所述方法和系统使用加密签名能力令牌 (cryptographically signed capability token), 在文中称为凭证。依照本 专利技术,可以通过使用无状态加密强制实施凭证机制(stateless cryptographically enforced credential mechanism )来保护IO设备。IO设备初始化过程的一部分可以包括向被允许访问所述IO设备的消 费者(例如,操作系统/分区、处理节点、应用等)分发加密签名凭证。操 作系统(独立的或在逻辑分区中)可以将所述凭证附于每个IO设备访问 事务。设备控制器(DC)可以检验所述凭证,并且,如果其净皮认证,则允 许完成所述访问事务。根据本专利技术的第一方面,提供了一种用于保护至少一个IO设备的访问和操作的计算机实现的系统。所述系统可以包括至少一个消费者,其被安排以便发起来自所述IO 设备的IO请求,并且所述IO请求可以包括IO能力分配和附加参数。所 述系统还可以包括IO资源管理器(IORM),其被安排以便将包括在所述 IO请求中的所述附加参数和IO能力分配转换成用于所述消费者或用于一 组消费者的一组能力令牌,生成全局密钥(global key )来保护所述一组能 力令牌,并且进一步被安排以便管理所述IO设备。所述系统可以进一步 包括通道组件,其被安排以便将所述IO请求传送至所述IO设备以及从所 述IO ^L备接收所述IO请求。仍然依照本专利技术的一个实施例,所述系统可以进一步包括IO子系统 管理器(IOSM),其被安排以便生成组凭证(group credential),从而 允许一组消费者通过使用所述组凭证来访问所述IO设备。此外,依照本专利技术的该实施例,所述通道组件可以进一步包括至少一 个主网关(HG),其被安排以便通过检查用于所述消费者或用于所述一组 消费者的一组能力令牌的加密签名凭证来强制实施所述组凭证;通信介质, 其被安排以便通过所述通道组件来传送信息;以及至少一个设备控制器 (DC),其被安排以便将所述IO设备分配给所述消费者或所述一组消费 者,并且进一步被安排以便控制所述IO设备的管理权限。另外,依照本专利技术的该实施例,所述组凭证由所述HG检验并且由所 述一组消费者使用。视情况,根据该实施例,所述IORM和所述IOSM可以在物理上嵌入 不同的位置中。此外,依照该实施例,假设所述HG连接至与所述全局密钥相耦合的 所述消费者或所述一组消费者,则所述IOSM进一步被安排以便将所述全 局密钥分发给所述HG。另外,依照该实施例,所述IOSM进一步被安排以便分发所述消费者 或所述一组消费者的凭证。进一步地,仍然依照该实施例,所述IORM进一步被安排以便生成消 费者凭证来检验所述IO请求的IO能力分配处于所述消费者的许可内。另外,根据本专利技术的该实施例,所述消费者凭证由所述HG检验并且 由所述消费者使用。依照本专利技术的另 一实施例,所述IORM进一步被安排以便生成设备凭 证,从而通过控制所述IO设备的访问和程序执行权限来保护所述IO设备。另外,依照该实施例,所述设备凭证由所述DC检验并且由所述消费 者使用。依照本专利技术的另一实施例,所述IO请求的附加参数可以包括以下中 的至少任何一项ICH殳备访问、IO许可和IO命令。根据本专利技术的第二方面,提供了一种用于保护至少一个IO设备的访 问和操作的计算机实现的方法。所述方法可以包括将IO请求的IO能力分配以及包括在所述IO请 求中的附加参数转换成用于消费者或用于一组消费者的一組能力令牌,所 述IO请求由消费者或一组消费者发起。所述方法可以进一步包括生成 全局密钥来保护所述能力,并且基于所述全局密钥,发布所述消费者或一 组消费者的能力的加密签名凭证,以及基于所述凭证来控制所述IO设备 的管理权限。依照本专利技术的该实施例,在所述控制步骤之前,所述方法可以进一步 包括分发所述消费者或所述一组消费者的凭证。另外,依照本专利技术的该实施例,所述发布步骤可以进一步包括发布 消费者凭证M验:所述IO请求的IO能力分配处于所述消费者的许可内。相应地,依照本专利技术的该实施例,所述消费者凭证可以由主网关(HG) 检验并且由所述消费者使用。另外,同样依照本专利技术的该实施例,所述发布步骤可以进一步包括 发布组凭证,从而允许一组消费者通过使用所述组凭证来访问所述IO设 备。相应地,依照本专利技术的该实施例,所述组凭证由所述HG检验并且由所述一组消费者使用。另外,仍然依照本专利技术的该实施例,所述发布步骤可以进一步包括 发布设备凭证来保护所述IO设备,并且所述控制步骤可以进一步包括 控制所述IO设备的访问和程序执行权限。相应地,依照本专利技术的该实施例,所述设备凭证由设备控制器(DC) 检本文档来自技高网...
【技术保护点】
一种用于保护至少一个IO设备的访问和操作的计算机实现的系统,所述系统包括: 至少一个消费者,其被安排以便发起来自所述IO设备的IO请求,所述IO请求包括IO能力分配和附加参数; IO资源管理器(IORM),其被安排以便将包括在所述IO请求中的所述附加参数和所述IO能力分配转换成用于所述消费者或用于一组消费者的一组能力令牌,生成全局密钥来保护所述一组能力令牌,并且进一步被安排以便管理所述IO设备;以及 通道组件,其被安排以便将所述IO请求传送至所述IO设备以及从所述IO设备接收所述IO请求。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:A·P·恩格伯森,Z·马舒尔斯基,J·萨特兰,L·沙莱夫,I·希莫尼,T·B·史密斯三世,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。