Справочник - Материнские платы и процессоры



             

Аппаратные компоненты LT - часть 2


Несоответствие между настройками контроллера памяти и характеристиками DIMM может вызвать "свертывание" адреса памяти (привязывание двух адресов системной шины к одной области в памяти). Выход из этого положения очевиден - тестирование кода аутентификации самих модулей. SINIT блокирует настройки контроллера памяти, считывает характеристики модулей DIMM и контроллера и проверяет их на предмет "сворачивания" адресов. Код аутентификации имеет цифровую подпись, присвоенную набору микросхем их производителем. Для защиты код имеет ассиметричные ключи и исполняется в специальной защищенной области. Далее запускается процесс SENTER, который регистрирует DM и обеспечивает безопасность загрузки. Он гарантирует отсутствие вмешательства при загрузке. Для регистрации DM процесс SENTER использует информацию из TPM. Во время загрузки инструкции SENTER останавливается любая активность процессора. После окончания загрузки SENTER управление передается уже загруженному ранее SINIT-AC, который после проверки кода аутентификации инициализирует домены DM. SENTER определяет подлинность кода SINIT и хранит его в TCM PCR1 (Platform Configuration Register). Код SINIT определяет подлинность DM и хранит информацию о ней в TCM PCR2. Для этого SINIT использует свой специальный набор аппаратных команд и специальные циклы системной шины. После этого все защищенные операции осуществляются через защищенный домен.

Защищенный домен запускается в несколько этапов: сначала устройство управления доменом идентифицируется (DM), затем создает в памяти защищенное адресное пространство, после этого по запросу домен получает управление защищенным приложением на уровне ядра ОС. Для каждого из таких приложений в памяти создается свое защищенное адресное пространство. Питание на DM подается только по требованию, так что она особых требований на питание не налагает.


Содержание  Назад  Вперед