The present disclosure relates to cache and data organizations for memory protection. The memory protection operation in the device can be accelerated by organizing cache and / or data structures while providing memory protection for encrypted data. The sample device can include a processing module and a memory module. The processing module may include a memory encryption engine (MEE), the memory encryption engine for security metadata decrypts encrypted data from the memory module is loaded or stored in the memory module in the same storage prior to the memory module of the plaintext data is encrypted. The sample security metadata can include Version (VER) data, memory authentication code (MAC) data, and counter data. In accordance with the present disclosure, the cache associated with the MEE may be partitioned to separate the VER and MAC data from the counter data. The data organization may include: including the VER and MAC data that correspond to the specific data in the same data line.
【技术实现步骤摘要】
【国外来华专利技术】用于存储器保护的高速缓存和数据组织
本公开涉及数据安全,并且更具体地涉及可以通过高速缓存分区和/或数据组织来实现加快存储器保护的设备。
技术介绍
随着越来越多的日常交易变得电子化,电子数据安全已经成为开发的重点。计算设备不断被用来交换金融数据、个人标识数据等。因此,黑客可能企图损害计算设备以访问这种有价值的信息。例如,恶意软件(例如,恶意程序)可能会被加载以被动或主动地攻击计算设备。被动攻击可包括:恶意程序观察在处理器与存储器之间传递的数据,以获取密码或其他敏感或机密数据。主动攻击可涉及改变存储器中所存储的数据以触发非典型结果,如允许未经许可的用户访问计算设备。在任一实例中,计算设备的存储器中的与计算设备中的处理器进行交换的明文(未加密)数据等是主要的漏洞。设备制造商、部件制造商、软件开发商等继续努力开发对抗漏洞的保护措施。基于软件的恶意程序检测和消除解决方案通常在计算设备中的操作系统(OS)的特权级别下运行。这些解决方案可以有效抵御较低权限的攻击,但可能无法对抗像根程序病毒包(rootkit)那样的较高权限的恶意程序。现在正在出现一些基于硬件的保护解决方案,这些保护解决方案在启动计算设备的过程中很早就实行,并且因此可能会甚至在恶意程序活动之前建立保护措施。已知良好的保护固件可能会在启动期间早期加载,所述保护固件可以执行各种功能,例如检查后续加载的软件是否与已知良好的版本相适合、建立存储器的保护区,其中可以保护数据免受敌意软件的访问等。尽管这些保护措施的益处可能是显而易见的,硬件保护系统可能引入的至少一个问题是非常低水平的额外处理开销导致例如计算设备的整体 ...
【技术保护点】
一种包括存储器保护的设备,所述设备包括:存储器模块;以及处理模块,所述处理模块至少包括:存储器加密引擎,所述存储器加密引擎用于进行以下各项中的至少一项:使用从所述存储器模块加载的安全元数据对从所述存储器模块加载的加密数据进行解密;或者使用所述安全元数据在存储于所述存储器模块中之前对明文数据进行加密,所述存储器加密引擎至少包括用于保持所述安全元数据的分区高速缓存。
【技术特征摘要】
【国外来华专利技术】2015.03.18 US 14/661,0441.一种包括存储器保护的设备,所述设备包括:存储器模块;以及处理模块,所述处理模块至少包括:存储器加密引擎,所述存储器加密引擎用于进行以下各项中的至少一项:使用从所述存储器模块加载的安全元数据对从所述存储器模块加载的加密数据进行解密;或者使用所述安全元数据在存储于所述存储器模块中之前对明文数据进行加密,所述存储器加密引擎至少包括用于保持所述安全元数据的分区高速缓存。2.如权利要求1所述的设备,其中,所述处理模块包括用于处理所述明文数据的至少一个处理核以及用于在处理过程中保持所述明文数据的至少一部分的至少一个核高速缓存。3.如权利要求2所述的设备,其中,所述至少一个处理核用于从所述存储器加密引擎接收所述经解密的数据,并且在存储于所述存储器模块中之前将所述明文数据提供给所述存储器加密引擎以便加密。4.如权利要求1所述的设备,其中,所述存储器加密引擎用于对所述加密数据进行解密并且使用计数器模式加密来对所述明文数据进行加密。5.如权利要求1所述的设备,其中,所述安全元数据至少包括与所述加密数据或所述明文数据相对应的存储器认证码数据、版本数据和计数器数据。6.如权利要求5所述的设备,其中,所述存储器加密引擎用于至少使用所述存储器认证码数据来认证从所述存储器模块加载的所述加密数据,并且至少使用所述计数器数据来认证所述版本数据。7.如权利要求5所述的设备,其中,所述存储器加密引擎高速缓存包括用于保持所述版本数据和所述存储器认证码数据的第一分区。8.如权利要求7所述的设备,其中,所述存储器加密引擎用于确定存在于所述第一分区中的版本数据已经被认证。9.如权利要求7所述的设备,其中,所述存储器加密引擎高速缓存包括用于保持所述计数器数据的第二分区。10.如权利要求5所述的设备,其中,所述存储器认证码数据和所述版本数据被存储在数据线中,所述数据线在单次读取操作中能从所述存储器模块加载到所述第一分区中。11.一种包括存储器保护的设备,所述设备包括:存储器模块;以及处理模块,所述处理模块至少包括存储器加密引擎,所述存储器加密引擎用于进行以下各项中的至少一项:使用从所述存储器模块加载的安全元数据对从所述存储器模块加载的加密数据进行解密;或者使用所述安全元数据在存储于所述存储器模块中之前对明文数据进行加密,其中,所述安全元数据至少包括与存储于数据线中的所述加密数据或明文数据相对应的存储器认证码数据和版本数据,所述数据线在单次读...
【专利技术属性】
技术研发人员:S·查博拉,R·玛卡拉姆,J·麦克考密克,B·巴塔查里亚,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。