公开(公告)号：US09858411B2

公开(公告)日：2018-01-02

申请号：US14576665

申请日：2014-12-19

申请人： Ravi Sahita ,  Xiaoning Li ,  Barry E. Huntley ,  Ofer Levy ,  Vedvyas Shanbhogue ,  Yuriy Bulygin ,  Ido Ouziel ,  Michael Lemay ,  John M. Esper

发明人： Ravi Sahita ,  Xiaoning Li ,  Barry E. Huntley ,  Ofer Levy ,  Vedvyas Shanbhogue ,  Yuriy Bulygin ,  Ido Ouziel ,  Michael Lemay ,  John M. Esper

IPC分类号： G06F9/45 ,  G06F21/52 ,  G06F21/55 ,  G06F9/455 ,  G06F11/30

CPC分类号： G06F21/52 ,  G06F9/45558 ,  G06F11/30 ,  G06F21/554 ,  G06F2009/45591 ,  G06F2221/033

摘要： A method comprises filtering branch trap events at a branch event filter, monitoring a branch event filter to capture indirect branch trap events that cause a control flow trap exception, receiving the indirect branch trap events at a handler and the handler processing the indirect branch trap events.

公开(公告)号：US09323564B2

公开(公告)日：2016-04-26

申请号：US13995245

申请日：2011-12-28

申请人： Manohar R. Castelino ,  Vedvyas Shanbhogue ,  Sergio Rodriguez

发明人： Manohar R. Castelino ,  Vedvyas Shanbhogue ,  Sergio Rodriguez

IPC分类号： G06F9/455 ,  G06F9/44

CPC分类号： G06F9/45558 ,  G06F9/4401

摘要： Systems, methods, and computer program products that provide for the use of a type 2 VMM to de-link or isolate underlying processor hardware from an operating system. This may allow the launching of a task that requires direct access to processor hardware, where such access requires the absence of an operating system. Such a task may take the form of a type 1 VMM, such as an information security or integrity VMM, e.g., an anti-malware VMM.

摘要翻译： 提供使用2型VMM的操作系统，方法和计算机程序产品，用于将底层处理器硬件与操作系统解耦或隔离。 这可能允许启动需要直接访问处理器硬件的任务，其中这种访问需要不存在操作系统。 这样的任务可以采取类型1 VMM的形式，诸如信息安全性或完整性VMM，例如反恶意软件VMM。

公开(公告)号：US20150378941A1

公开(公告)日：2015-12-31

申请号：US14318508

申请日：2014-06-27

申请人： Carlos V. Rozas ,  Ilya Alexandrovich ,  Gilbert Neiger ,  Francis X. McKeen ,  Ittai Anati ,  Vedvyas Shanbhogue ,  Shay Gueron

发明人： Carlos V. Rozas ,  Ilya Alexandrovich ,  Gilbert Neiger ,  Francis X. McKeen ,  Ittai Anati ,  Vedvyas Shanbhogue ,  Shay Gueron

IPC分类号： G06F13/24 ,  G06F12/08

CPC分类号： G06F13/24 ,  G06F12/08 ,  G06F12/0806 ,  G06F12/0875 ,  G06F21/00 ,  G06F21/71 ,  G06F21/85 ,  G06F2212/1024 ,  G06F2212/1052 ,  G06F2212/62

摘要： Instructions and logic interrupt and resume paging in secure enclaves. Embodiments include instructions, specify page addresses allocated to a secure enclave, the instructions are decoded for execution by a processor. The processor includes an enclave page cache to store secure data in a first cache line and in a last cache line for a page corresponding to the page address. A page state is read from the first or last cache line for the page when an entry in an enclave page cache mapping for the page indicates only a partial page is stored in the enclave page cache. The entry for a partial page may be set, and a new page state may be recorded in the first cache line when writing-back, or in the last cache line when loading the page when the instruction's execution is being interrupted. Thus the writing-back, or loading can be resumed.

摘要翻译： 指令和逻辑在安全飞地中中断和恢复寻呼。 实施例包括指令，指定分配给安全空间的页面地址，指令被解码以供处理器执行。 处理器包括用于将安全数据存储在与页面地址对应的页面的第一高速缓存行中的最后高速缓存行中的一个包围页面缓存。 当页面的飞地页面缓存映射中的条目仅指示部分页面存储在飞地页面缓存中时，从页面的第一个或最后一个高速缓存行读取页面状态。 可以设置部分页面的条目，并且当写回时可以在第一高速缓存行中记录新的页面状态，或者当指令的执行中断时在最后的高速缓存行中加载页面时。 因此，可以恢复回写或加载。

公开(公告)号：US09189411B2

公开(公告)日：2015-11-17

申请号：US13729348

申请日：2012-12-28

申请人： Francis X. Mckeen ,  Michael A. Goldsmith ,  Barrey E. Huntley ,  Simon P. Johnson ,  Rebekah Leslie ,  Carlos V. Rozas ,  Uday R. Savagaonkar ,  Vincent R. Scarlata ,  Vedvyas Shanbhogue ,  Wesley H. Smith

发明人： Francis X. Mckeen ,  Michael A. Goldsmith ,  Barrey E. Huntley ,  Simon P. Johnson ,  Rebekah Leslie ,  Carlos V. Rozas ,  Uday R. Savagaonkar ,  Vincent R. Scarlata ,  Vedvyas Shanbhogue ,  Wesley H. Smith

IPC分类号： G06F12/00 ,  G06F12/08 ,  G06F12/14

CPC分类号： G06F21/60 ,  G06F12/0875 ,  G06F12/14 ,  G06F12/145 ,  G06F21/72 ,  G06F2212/1052 ,  G06F2212/152 ,  G06F2212/452

摘要： Embodiments of an invention for logging in secure enclaves are disclosed. In one embodiment, a processor includes an instruction unit and an execution unit. The instruction unit is to receive an instruction having an associated enclave page cache address. The execution unit is to execute the instruction without causing a virtual machine exit, wherein execution of the instruction includes logging the instruction and the associated enclave page cache address.

摘要翻译： 公开了用于登录安全飞行器的发明的实施例。 在一个实施例中，处理器包括指令单元和执行单元。 该指令单元用于接收具有关联的飞地页面缓存地址的指令。 执行单元执行指令而不引起虚拟机退出，其中指令的执行包括记录指令和关联的飞地页面缓存地址。

公开(公告)号：US09086913B2

公开(公告)日：2015-07-21

申请号：US12347890

申请日：2008-12-31

申请人： Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

发明人： Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

IPC分类号： G06F9/46 ,  G06F9/48 ,  G06F9/50 ,  G06F9/455

CPC分类号： G06F12/1408 ,  G06F9/45558 ,  G06F9/4812 ,  G06F9/5077 ,  G06F2009/45579 ,  G06F2212/1052 ,  H04L9/14 ,  H04L9/3242 ,  H04L63/168 ,  H04L2209/24 ,  Y02D10/22 ,  Y02D10/24 ,  Y02D10/36

摘要： Methods and apparatus relating to processor extensions for execution of secure embedded containers are described. In an embodiment, a scalable solution for manageability function is provided, e.g., for UMPC environments or otherwise where utilizing a dedicated processor or microcontroller for manageability is inappropriate or impractical. For example, in an embodiment, an OS (Operating System) or VMM (Virtual Machine Manager) Independent (generally referred to herein as “OI”) architecture involves creating one or more containers on a processor by dynamically partitioning resources (such as processor cycles, memory, devices) between the HOST OS/VMM and the OI container. Other embodiments are also described and claimed.

摘要翻译： 描述与用于执行安全嵌入式容器的处理器扩展有关的方法和装置。 在一个实施例中，提供了用于可管理性功能的可扩展解决方案，例如对于UMPC环境，或者其他利用专用处理器或微控制器进行可管理性是不合适或不切实际的。 例如，在一个实施例中，OS（操作系统）或VMM（虚拟机管理器）独立（本文通常称为“OI”）架构涉及通过动态地划分资源（例如处理器周期）来在处理器上创建一个或多个容器 ，内存，设备）在HOST OS / VMM和OI容器之间。 还描述和要求保护其他实施例。

公开(公告)号：US20150169453A1

公开(公告)日：2015-06-18

申请号：US14126915

申请日：2013-07-31

申请人： Vedvyas Shanbhogue ,  Arvind Kumar

发明人： Vedvyas Shanbhogue ,  Arvind Kumar

IPC分类号： G06F12/08 ,  G06F12/12 ,  G11C7/10

CPC分类号： G06F12/0811 ,  G06F12/0808 ,  G06F12/084 ,  G06F12/128 ,  G06F13/4027 ,  G06F13/4269 ,  G06F2212/284 ,  G06F2212/305 ,  G06F2212/69 ,  G11C7/1072

摘要： In an embodiment, a first portion of a cache memory is associated with a first core. This first cache memory portion is of a distributed cache memory, and may be dynamically controlled to be one of a private cache memory for the first core and a shared cache memory shared by a plurality of cores (including the first core) according to an addressing mode, which itself is dynamically controllable. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，高速缓存存储器的第一部分与第一核心相关联。 该第一高速缓冲存储器部分是分布式高速缓存存储器，并且可以被动态地控制为根据寻址的第一核心的专用高速缓冲存储器和由多个核心（包括第一核心）共享的共享高速缓冲存储器之一 模式，其本身是动态可控的。 描述和要求保护其他实施例。

公开(公告)号：US08615757B2

公开(公告)日：2013-12-24

申请号：US11964660

申请日：2007-12-26

申请人： Carl G. Klotz, Jr. ,  Steve Grobman ,  Vedvyas Shanbhogue

发明人： Carl G. Klotz, Jr. ,  Steve Grobman ,  Vedvyas Shanbhogue

IPC分类号： G06F9/455 ,  G06F9/46

CPC分类号： G06F9/5077

摘要： A system and method are disclosed. In one embodiment the system includes a physical resource that is capable of generating I/O data. The system also includes multiple virtual machines to utilize the physical resource. Among the virtual machines are a resource source virtual machine that is capable of owning the physical resource. The resource source virtual machine is also capable of sending a stream of one or more I/O packets generated from the I/O data that targets a resource sink virtual machine. The resource sink virtual machine is designated as a termination endpoint of the I/O data from the physical device. Also among the virtual machines are one or more resource filter virtual machines. Each of the resource filter virtual machines is capable of filtering I/O packets of a particular type from the stream prior to the stream reaching the resource sink virtual machine.

摘要翻译： 公开了一种系统和方法。 在一个实施例中，系统包括能够产生I / O数据的物理资源。 该系统还包括多个虚拟机来利用物理资源。 虚拟机中的资源源虚拟机能够拥有物理资源。 资源源虚拟机还能够发送从作为资源宿虚拟机的I / O数据生成的一个或多个I / O包的流。 资源宿虚拟机被指定为来自物理设备的I / O数据的终止端点。 虚拟机中还有一个或多个资源过滤器虚拟机。 每个资源过滤器虚拟机能够在到达资源宿虚拟机的流之前从流中过滤特定类型的I / O分组。

公开(公告)号：US20130283369A1

公开(公告)日：2013-10-24

申请号：US13925991

申请日：2013-06-25

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

IPC分类号： G06F21/44

CPC分类号： G06F21/44 ,  G06F21/50 ,  G06F21/57 ,  G06F21/575 ,  G06F21/85 ,  H04L63/126 ,  H04L67/125

摘要： In one embodiment, a processor can enforce a blacklist and validate, according to a multi-phase lockstep integrity protocol, a device coupled to the processor. Such enforcement may prevent the device from accessing one or more resources of a system prior to the validation. The blacklist may include a list of devices that have not been validated according to the multi-phase lockstep integrity protocol. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，处理器可以强制黑名单并且根据多阶段锁步完整性协议验证耦合到处理器的设备。 这种执行可以防止设备在验证之前访问系统的一个或多个资源。 黑名单可以包括根据多阶段锁定完整性协议未被验证的设备的列表。 描述和要求保护其他实施例。

公开(公告)号：US08516551B2

公开(公告)日：2013-08-20

申请号：US12845528

申请日：2010-07-28

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

IPC分类号： G06F7/04

CPC分类号： G06F21/44 ,  G06F21/50 ,  G06F21/57 ,  G06F21/575 ,  G06F21/85 ,  H04L63/126 ,  H04L67/125

摘要： In one embodiment, a processor can enforce a blacklist and validate, according to a multi-phase lockstep integrity protocol, a device coupled to the processor. Such enforcement may prevent the device from accessing one or more resources of a system prior to the validation. The blacklist may include a list of devices that have not been validated according to the multi-phase lockstep integrity protocol. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，处理器可以强制黑名单并且根据多阶段锁步完整性协议验证耦合到处理器的设备。 这种执行可以防止设备在验证之前访问系统的一个或多个资源。 黑名单可以包括根据多阶段锁定完整性协议未被验证的设备的列表。 描述和要求保护其他实施例。

公开(公告)号：US20130117743A1

公开(公告)日：2013-05-09

申请号：US13629395

申请日：2012-09-27

申请人： Gilbert Neiger ,  Barry E. Huntley ,  Ravi L. Sahita ,  Vedvyas Shanbhogue ,  Jason W. Brandt

发明人： Gilbert Neiger ,  Barry E. Huntley ,  Ravi L. Sahita ,  Vedvyas Shanbhogue ,  Jason W. Brandt

IPC分类号： G06F9/455

CPC分类号： G06F9/45545 ,  G06F9/455 ,  G06F9/45533 ,  G06F9/4555

摘要： A processing core comprising instruction execution logic circuitry and register space. The register space to be loaded from a VMCS, commensurate with a VM entry, with information indicating whether a service provided by the processing core on behalf of the VMM is enabled. The instruction execution logic to, in response to guest software invoking an instruction: refer to the register space to confirm that the service has been enabled, and, refer to second register space or memory space to fetch input parameters for said service written by said guest software.

摘要翻译： 处理核心，包括指令执行逻辑电路和寄存器空间。 要从VMCS加载的与VM条目相称的寄存器空间，其中指示是否启用了代表VMM的由处理核心提供的服务的信息。 指令执行逻辑响应客户软件调用指令：参考寄存器空间以确认服务已经被使能，并且参考第二寄存器空间或存储器空间来获取由所述访客写入的所述服务的输入参数 软件。