这是一篇较有深度的技术性文章,文章对La Grande安全保护技术有了一个相当完整的介绍。从中我们可以发现,Wintel联盟对未来PC的安全保护有了一个全新立意的高度,未来的PC将更安全!
保护环境设置——启动被保护的域
下列各项幻灯显示启动一个被保护的域的基本顺序,而且你能看到域管理器(处理左右手环境的软件)被首先载入,跟着是被保护的内核。最初,它可能是一个请求载入被保护的环境的应用程序,但是操作系统的要求占了绝大多数。
一次只能加载一个域管理器。不同的域管理器可能按顺序地加载和卸除,但是不能同时运行。并且域管理器运行在更高的优先等级。
要确保保护操作就必须使用鉴别码(AC),这样一套AC模块叫做ENTERACCS和EXITAC,用于加载和卸除被保护的域管理器。由芯片组厂商产生ENTERACCS和EXITAC代码是比较可靠的。
一个叫做SENTER的新处理器指令将会被包含在未来的LaGrande兼容的处理器中,而且执行关键操作,例如确保当保护环境被载入时中断其他所有的处理器活动,而且它把用于ENTERACCS软件的最初唯一标识符(钥匙)存储在TPM里的一个平台配置寄存器(PCR)中。SENTER 载入且校验进入鉴别码密码和预存密码的一致性。在下面的幻灯你能看到SENTER中断了所有其他的系统活动,然后它开始 ENTERACCS代码的载入,ENTERACCS鉴别代码依次载入并使域管理器(DM)生效。
下图显示的是受保护域启动事件另一个视图以及可能发生的问题,这些问题可能出现并需要不同的程序解决的。
下面的过程详细说明域管理器和ENTERACCS初始化密码是如何被识别的。
网友评论