安全的存储器系统及其方法技术方案

本发明专利技术公开了一种用于将高速缓存数据存储在高速缓存内的高速缓存存储器控制器，所述高速缓存数据包括对应于受保护的第一数据的不安全的版本的数据。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及数据安全性领域，更具体地涉及安全存储器领域。
技术介绍
位于集成电路(IC)内部的用于代码和/或数据存储的安全存储器需要专用的隔离的存储元件，由于专用的隔离的存储元件需要保持安全，因此不能够与其他资源共享。位于IC内部的存储元件经常表现出显著的尺寸和成本冲击。关键的可执行代码在执行之前通常需要进行验证。为了保证其完整性，关键的可执行代码的整个图像被存储在片上存储器的大区域中。使用片上存储器以存储关键的可执行代码还使得一些需要额外的存储器的更新(诸如补丁和增强)变得更加困难。已知的解决方案是利用一个或多个消息认证码(MAC)标签来保护整个图像。例如，可证明安全的较小的代码段可以从片上ROM加载且用于在将外部存储器内存储的代码段释放到处理器之前对其进行验证。在外部存储器的情况下，在验证代码段之后，图像一定不能够被外部的实体(例如攻击者)修改。如果验证的代码位于外部存储器中，则攻击者可能在MAC验证过程已经验证图像之后修改该图像，从而使得处理器执行未经验证的代码。用于使存储器安全的另一种解决方案利用安全的存储器事务。该方法需要专门的存储器控制器，该专门的存储器控制器理解两种类型的事务即安全的事务和不安全的事务之间的区别以及能够生成这些类型的事务的外围设备。另外，尽管安全的存储器保护存储器存取事务，但是它并未解决与由于修改外部存储器内的数据引起的攻击有关的问题。对于关键的可执行代码的安全性的另一解决方案涉及对在不安全的存储器内存储的所有的代码和有关数据加密，其中，当执行代码或访问数据时CPU执行解密。然而，解密在计算上是昂贵的且系统性能经常大大地受到额外执行解密过程的影响。现有的解决方案倾向于具有粗粒度的MAC，例如整个图像被加密或者图像被细分成数个较小的片段，但该较小的片段仍是相对大的。这些片段然后在外部存储器中被验证一次或多次。如果在MAC验证已经完成之后，代码被攻击者修改，则处理器执行该代码，直到执行下一次MAC重新验证；因此，执行被篡改的代码直到另外的MAC验证发生。如果代码被篡改，则下一次验证将失败，但是到那时可能已经执行了恶意代码。安全的存储器不能够位于处理器IC的外部，例如低成本的SDRAM中，这是因为互连能够在外部进行访问且能够容易地被攻击者探测以观察且可能修改数据。因此，待被验证的图像需要仅仅在运行验证进程的处理器的控制下，被拷贝到大型的被保护的片上位置。否则，安全性界限需要物理上扩展以包括外部的不安全的存储器，这是不切实际的。需要高效地对定位在外部存储器中的代码和/或数据进行加密/解密，使得可访问的互连能够不再被篡改以导致不安全的代码。
技术实现思路
根据本专利技术的至少一个实施方式的一方面，提供了一种电路，所述电路包括：高速缓存存储器，所述高速缓存存储器中具有受保护以防篡改的存储器；第一存储器；和高速缓存控制器，所述高速缓存控制器具有第一电路，所述第一电路用于以安全从而防止篡改的形式将第二数据存储在第一存储器内，所述第二数据对应于第一数据，所述第一数据以纯文本形式存储在所述高速缓存存储器内以被与所述高速缓存控制器相关联的处理器使用。根据本专利技术的至少一个实施方式的一方面，提供一种电路，所述电路包括：高速缓存存储器，所述高速缓存存储器中具有受保护以防篡改的存储器；第一存储器；和高速缓存控制器，所述高速缓存控制器具有第一电路，所述第一电路用于在将第一数据高速缓存在高速缓存存储器内之前验证第一存储器内的所述第一数据，全部的第一数据被验证且以纯文本的形式存储在高速缓存存储器内，全部的第一数据被定尺寸以用于所述高速缓存控制器的高速缓存过程，其中，各个安全的第一数据被定尺寸而成为所述高速缓存控制器的过程内的数据块。根据本专利技术的至少一个实施方式的一方面，提供了一种方法，包括：高速缓存来自从不安全的存储器的数据，其包括：验证不安全的存储器内的第一数据；与所述第一数据对应地将所述第一数据的不安全版本存储在高速缓存存储器内；以及当刷新高速缓存时，保护所高速缓存的不安全的数据以防篡改且利用受保护的高速缓存的不安全的数据更新第一数据。根据本专利技术的至少一个实施方式的一方面，提供一种方法，包括：将高速缓存数据存储在高速缓存内；当刷新高速缓存时，对高速缓存数据加密以形成哈希数据；与高速缓存数据相关联地将包括高速缓存数据的第一数据存储在外部存储器内；以及与第一数据相关联地存储哈希数据，用于验证所述第一数据以防篡改。附图说明现在将结合下面的附图描述本专利技术的示例性实施方式，其中：图1示出在处理器的外部进行加密/解密的现有技术的系统；图2示出安全的存储器位于处理器芯片上的现有技术的系统；图3示出应用于典型的计算系统架构的系统的一个实施方式；图4示出用于代码传递的信息流；图5示出对存储器的读取数据/写入数据的信息流。具体实施方式图1示出使外部存储器安全的现有技术方法。在此，写入到外部存储器的全部数据在离开处理器时或者在离开处理器之前进行加密，且全部数据当通过处理器进行读取时进行解密。利用所示的系统，消耗许多处理周期，将数据译成密码、对数据加密或对数据解密，这导致了既由于增大功耗、又由于处理时间延长或者处理器电路空间增大而引起显著下降的性能。图2示出使存储器安全的另一现有技术方法。在此，安全的存储器在处理电路的内部，即与处理电路集成在一起。全部的数据进入到使用它的内部存储器。这允许数据被保护免受在处理器外被篡改，且一旦存储在安全的存储器中的处理器内变得安全而免受篡改。遗憾的是，这需要非常大的内部存储器，且还消除了外部存储器的许多优势，诸如价格、大量生产、可升级性等。另外，存储器管理现在是必须被设计到处理器电路中的一个任务。图3示出高效的片上安全存储器存取的一个实施方式，其中，安全高速缓存与外围设备附接。例如，高级完整性控制器(AIC)301的高速缓存302与CPU 101形式的处理器组合在集成电路(芯片)303上。高速缓存302通常是与处理器101集成的小型快速存储器。AIC 301还可用于高速缓存其他类型的数据，例如来自图形处理单元(GPU)的视频块或者来自显示控制器的视频块，由此排除了利用外围设备或集成电路块的这些和其他存储器的安全版本。在一个实施方式中，AIC 301的高速缓存302与验证处理器(AP)304组合以确保处理器101仅仅执行有效的代码，即已经经过验证且已知经过验证的代码。该代码与用于验证的多个MAC标签一起被存储在不安全的存储器105中。该代码可选地例如通过AES方法进行加密。可替选地，使用另外的加密方法或技术，其中，加密密钥与AP 304共享。当发生高速缓存缺失时，通过AP 304经由总线103从不安全的存储器105执行高速缓存行以及相关联的MAC标签获取。AP依赖于MAC标签以验证检索到的高速缓存行，且一旦经过验证，则将该高速缓存行存储在本地的安全的高速缓存302中。在高速缓存行获取期间，使用等待状态或者等效机制保持处理器101。可替选地，处理器执行另一线程或另一进程，直到完成高速缓存行获取操作。AP 304执行MAC验证，且当必须解密时，对从外部存储器获取的检索到的高速缓存行执行MAC验证。可选地，所述方法还支持由处理器101处理被存储的其他的代码或数据，例如在不安全的存储器1本文档来自技高网...

【技术保护点】
一种电路，包括：高速缓存存储器，所述高速缓存存储器中具有受保护而防止篡改的存储器；第一存储器；和高速缓存控制器，所述高速缓存控制器具有第一电路，所述第一电路用于以安全从而防止篡改的形式将第二数据存储在所述第一存储器内，所述第二数据对应于第一数据，所述第一数据以纯文本存储在所述高速缓存存储器内以被与所述高速缓存控制器相关联的处理器使用。

【技术特征摘要】
【国外来华专利技术】1.一种电路，包括：高速缓存存储器，所述高速缓存存储器中具有受保护而防止篡改的存储器；第一存储器；和高速缓存控制器，所述高速缓存控制器具有第一电路，所述第一电路用于以安全从而防止篡改的形式将第二数据存储在所述第一存储器内，所述第二数据对应于第一数据，所述第一数据以纯文本存储在所述高速缓存存储器内以被与所述高速缓存控制器相关联的处理器使用。2.根据权利要求1所述的电路，其中，所述高速缓存存储器与所述处理器集成在同一集成电路中，且所述第一存储器包括外部存储器。3.根据权利要求1所述的电路，其中，所述第一电路包括用于计算安全标签的处理器，所述安全标签用于与所述第二数据相关联地被存储且用于验证所述第二数据以防篡改。4.根据权利要求3所述的电路，其中，所述第一电路包括标索引电路，所述标索引电路用于对所述安全标签标索引以使所述安全标签与对应的第二数据相关联，标索引后的所述安全标签用于存储在所述高速缓存存储器内。5.根据权利要求3所述的电路，其中，所述第一电路包括标索引电路，所述标索引电路用于对所述安全标签标索引以使所述安全标签与对应的第二数据相关联，标索引后的所述安全标签被存储在所述第一存储器内。6.根据权利要求2所述的电路，其中，所述第一电路包括用于计算MAC标签的处理器，所述MAC标签与所述第二数据相关联地被存储且用于验证所述第二数据以防篡改。7.根据权利要求6所述的电路，其中，所述第一电路包括标索引电路，所述标索引电路用于对所述MAC标签标索引以使所述MAC标签与对应的第二数据相关联，标索引后的所述MAC标签被存储在所述高速缓存存储器内。8.根据权利要求6所述的电路，其中，所述第一电路包括标索引电路，所述标索引电路用于对所述MAC标签标索引以使所述MAC标签与对应的第二数据相关联，标索引后的所述MAC标签被存储在所述第一存储器内。9.根据权利要求3所述的电路，其中，所述高速缓存存储器为与所述处理器集成在同一集成电路内的存储器，且所述第一存储器包括外部存储器。10.根据权利要求1所述的电路，其中，所述第一电路包括密码处理器，所述密码处理器用于对所述第一数据加密以形成安全的第一数据，所述安全的第一数据用于在所述第一存储器内作为所述第二数据存储。11.根据权利要求10所述的电路，其中，所述第一数据和其对应的第二数据被定尺寸从而被高速缓存，使得所述第一数据在所述高速缓存存储器内占据小于所述高速缓存存储器内的存储空间的四分之一。12.根据权利要求10所述的电路，包括高速缓存刷新电路，所述高速缓存刷新电路用于不时地自动地可逆地保护所述第一数据以形成第一密码数据且用于将所述第一密码数...

【专利技术属性】
技术研发人员：安德鲁·亚历山大·埃利亚斯，尼尔·法科尔·汉密尔顿，尼尔·莱克艾特，迈克尔·詹姆斯·路易斯，
申请(专利权)人：新思公司，
类型：发明
国别省市：美国;US