[发明专利]安全管理硬件资源的主机CPU架构系统和方法

权利要求书

1.一种安全管理硬件资源的主机CPU架构系统，包括：

主机CPU，以及，

安全处理器，其中，所述安全处理器与主机CPU不同且分离，所述安全处理器控制与物理内存页面管理相关的特定寄存器，所述安全处理器被配置为：

接收主机CPU发送的对所述与物理内存页面管理相关的特定寄存器的操作请求；

响应于所述操作请求，基于所述特定寄存器的类型，拒绝主机CPU的所述操作请求或只允许主机CPU读取所述特定寄存器，

其中，所述特定寄存器包括寄存器MSR_SP_MMU_EN，所述寄存器MSR_SP_MMU_EN用于寄存用于使能所述安全处理器对各种特定寄存器的访问权限的代码，其中，所述各种特定寄存器还包括下述至少之一：CR0、CR2、CR3、CR4和MSR_EFER，

其中，在所述安全处理器进行初始化时使能所述寄存器MSR_SP_MMU_EN，

当所述寄存器MSR_SP_MMU_EN被使能时，所述安全处理器控制所述特定寄存器；

当所述寄存器MSR_SP_MMU_EN不被使能时，所述安全处理器不控制所述特定寄存器。

2.根据权利要求1所述的系统，其中，所述特定寄存器包括寄存器CR0，所述寄存器CR0用于寄存主机CPU操作模式和状态的系统控制标志，以供所述安全处理器使用，

其中，响应于主机CPU发送的对所述与物理内存页面管理相关的特定寄存器的操作请求，基于所述特定寄存器的类型，拒绝主机CPU的所述操作请求或只允许主机CPU读取所述特定寄存器的步骤包括：

响应于主机CPU发送的对所述寄存器CR0的访问请求，拒绝主机CPU的所述操作请求。

3.根据权利要求2所述的系统，其中，在所述安全处理器进行初始化时，初始化所述寄存器CR0，使能所述寄存器CR0的分页功能PG位和写保护功能WP位，从而使得响应于主机CPU发送的对所述寄存器CR0的访问，根据所述寄存器CR0的分页功能PG和写保护功能WP的使能，所述安全处理器拒绝主机CPU的所述操作请求。

4.根据权利要求1所述的系统，其中，所述特定寄存器包括寄存器CR4，所述寄存器CR4用于寄存主机CPU的部分结构的扩展，所述扩展指示对特定处理器和操作系统的执行的支持，

其中，响应于主机CPU发送的对所述与物理内存页面管理相关的特定寄存器的操作请求，基于所述特定寄存器的类型，拒绝主机CPU的所述操作请求或只允许主机CPU读取所述特定寄存器的步骤包括：

响应于主机CPU发送的对所述寄存器CR4的访问，拒绝主机CPU的所述操作请求。

5.根据权利要求4所述的系统，其中，在所述安全处理器进行初始化时初始化所述寄存器CR4，使能所述寄存器CR4中物理地址扩展PAE位，以使能主机CPU的不执行NX功能，从而使得响应于主机CPU发送的对所述寄存器CR4的访问，根据所述寄存器CR4中物理地址扩展PAE位的使能，拒绝主机CPU的所述操作请求。

6.根据权利要求1所述的系统，其中，所述特定寄存器包括寄存器MSR_EFER，所述寄存器MSR_EFER用于寄存使能不执行NX功能位，

其中，在所述安全处理器进行初始化时初始化所述寄存器MSR_EFER，使能所述寄存器MSR_EFER中的不执行使能NXE位，

其中，响应于主机CPU发送的对所述与物理内存页面管理相关的特定寄存器的操作请求，基于所述特定寄存器的类型，拒绝主机CPU的所述操作请求或只允许主机CPU读取所述特定寄存器的步骤包括：

响应于主机CPU发送的对寄存器MSR_EFER的访问，拒绝主机CPU的所述操作请求。