支持用于存储器地址范围的可配置安全级别制造技术

公开了实现用于为存储器地址范围支持可配置安全级别的技术的处理器。在一个实施例中，处理器包括：处理核；存储器控制器，可操作地耦合至处理核，用于访问芯片外存储器中的数据；以及存储器加密引擎(MEE)，可操作地耦合至存储器控制器。MEE用于：响应于检测到关于与芯片外存储器相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，基于存储在安全范围寄存器上的值来标识与存储器位置相关联的安全级别指示符。MEE进一步用于：考虑到安全级别指示符而访问与芯片外存储器的存储器地址范围相关联的数据项的至少一部分。

【技术实现步骤摘要】
【国外来华专利技术】支持用于存储器地址范围的可配置安全级别
本公开的实施例一般涉及计算机系统，并且更具体地涉及但不限于支持用于存储器地址范围的可配置安全级别。背景确保计算机系统内的应用和数据的执行和完整性的安全越来越重要。各种已知的安全技术不能以灵活但可靠的方式充分确保应用和数据的安全。附图说明通过下文给出的具体实施方式并通过本公开各种实施例的附图，将更完整地理解本公开。然而，不应当认为这些附图将本公开限制为特定实施例，而是这些附图仅用于说明和理解。图1示出根据一个实施例的处理设备的框图。图2示出根据一个实施例的包括用于支持用于存储器地址范围的可配置安全级别的存储器的系统。图3示意性地示出根据本公开的一个或多个方面的为存储用于实现完整性和重放保护的加密元数据所采用的示例数据结构。图4示出根据一个实施例的用于支持用于存储器地址范围的可配置安全级别的方法的流程图。图5A是示出根据一个实施例的处理器的微架构的框图。图5B是示出根据一个实施例的有序流水线以及寄存器重命名级、乱序发布/执行流水线的框图。图6是示出根据一种实现方式的计算机系统的框图。图7是示出系统的框图，在该系统中可以使用本公开的实施例。图8是示出系统的框图，在该系统中可以使用本公开的实施例。图9是示出系统的框图，在该系统中可以使用本公开的实施例。图10是示出芯片上系统(SoC)的框图，在该芯片上系统中可以使用本公开的实施例。图11是示出SoC设计的框图，在该SoC设计中可以使用本公开的实施例。图12示出了示出计算机系统的框图，在该计算机系统中可以使用本公开的实施例。具体实施方式描述了用于支持用于存储器地址范围的可配置安全级别的技术。在一个实施例中，提供了一种处理器。该处理器可以包括配置为实现软件防护扩展技术以提供存储器保护的处理逻辑。“存储器保护”通常可以包括通过加密、完整性和/或重放保护来保护数据的机密性。完整性保护可以抵抗攻击，其中例如，攻击者可以在解密之前修改存储器中的经加密的数据。重放保护可以阻止攻击，其中例如，攻击者使得解密操作重复以获得对受保护的数据的未经授权的访问。使用提供安全的硬件加密的计算和存储环境(例如，安全飞地)的某些处理器指令。本文中的“安全飞地”将指应用的地址空间内的使应用能保持秘密并且保护其代码的完整性的受保护的区域。对来自未驻留在飞地中的应用的与安全飞地相关联的数据的访问被阻止，即使这种访问是由有特权的应用(诸如BIOS、操作系统或虚拟机监视器)尝试的。此外，安全飞地的数据内容不能通过有特权的代码或者甚至不能通过向存储器总线应用硬件探头来解密。可以实现用于保护安全飞地的数据的若干技术。在一个实施例中，可以使用存储器加密引擎(MEE)硬件以用于数据的加密以及该数据的完整性和重放保护。MEE可以加密被移动至可能在处理器外部的不受信任的系统存储器的数据。当存储器页存储在系统存储器中时，MEE使用加密机制来加密数据并且使用其他技术来提供完整性和机密性。当从系统存储器读取数据时，MEE解密数据并检查数据的完整性，并且然后将数据置于处理器的内部高速缓存中。为了对受保护的数据提供完整性保护，MEE可以存储消息认证码(MAC)值，其中处理器高速缓存的每个数据行被移动至系统存储器。当从系统存储器读取数据行时，其完整性可以通过计算数据行的MAC值以及将所计算的MAC值与所存储的MAC值进行比较来验证。在某些实现方式中，MAC存储在系统存储器中，并且因此还需要被保护免于被访问或篡改。重放保护可以进一步由处理器通过存储每当数据行被写回至系统存储器时递增的数据行的版本(VER)来提供。为了保护MAC和VER值本身，可以采用包括多个节点的重放保护树。树的每个节点由基于节点内容和存储在树的下一级别上的计数器的值计算的嵌入式MAC(eMAC)验证。MAC、VER和计数器的值在本文中可以共同称为“加密元数据”。重放保护树可以具有可变数量的级别，每个级别处包括一种类型的计数器。为了确保重放保护，通过从存储数据行的VER值的端节点开始遍历树来验证从外部存储器读取的每个数据行。重放保护树中的级别的数量随着受保护的存储器区域的尺寸线性地增长。例如，为了保护64GB的存储器区域，可以利用七级树，因此要求顶级计数器为8KB。因此，对于数据行的每次读取，将需要从系统存储器加载七个附加存储器行，由此与未受保护的存储器读取将需要的数据存储器带宽的量相比创建所需的数据存储器带宽的量的七倍的开销。在一些情况下，各种系统可能要求大量的存储器带宽。例如，一些系统应用可能调用高比率的数据在其与存储器之间来回移动。此外，一些系统可能具有需要整个应用在安全飞地内运行的使用模型。在这些情形下，系统性能高度依赖可用于应用的存储器带宽的量，可用于应用的存储器带宽的量可能被与重放保护树相关联的带宽要求影响。本公开的实施例提供允许诸如系统管理员的用户配置安全性与性能之间的平衡的机制。在一些实施例中，可以配置安全范围寄存器以使使用重放保护树来保护数据的带宽和性能影响最小化。在一个实施例中，安全范围寄存器可以包括安全级别指示符，其可以用于将受保护的存储器的总范围分成至少两个子类别：1)仅加密范围，以及2)完全保护范围。在完全保护范围中，处理器可以使用诸如MEE的加密硬件来提供加密、完整性和重放保护。在仅加密范围中，加密硬件可以用于在将数据行发送至存储器之前仅加密数据行。因为加密硬件不需要访问加密元数据(例如，MAC和VER数据)，所以加密硬件不会显著地影响处理器的带宽利用，从而提高系统性能。图1示出根据一个实施例的处理设备100的框图，其可以支持可配置安全范围功能。处理设备100一般可以称为“处理器”或“CPU”。此处的“处理器”或“CPU”将指能够执行对算术、逻辑或I/O操作进行编码的指令的设备。在一个说明性示例中，处理器可以包括算术逻辑单元(ALU)、控制单元以及多个寄存器。在另一方面中，处理器可以包括一个或多个处理核，因此，处理器可以是通常能够处理单个指令流水线的单核处理器，或可以是可以同时处理多个指令流水线的多核处理器。在另一方面中，处理器可以实现为单个集成电路、两个或更多个集成电路，或可以是多芯片模块(例如，其中，各个微处理器管芯被包括在单个集成电路封装中，因此，这些微处理器管芯共享单个插槽)的组件。如图1所示，处理设备100可以包括各种组件。在一个实施例中，处理设备100可以包括一个或多个处理器核110和存储器控制器单元120以及其他组件，如所示地相互耦合。处理设备100还可以包括通信组件(未示出)，其可以用于处理设备100的各种组件之间的点对点通信。处理设备100可用在包括但不限于台式计算机、平板计算机、膝上型计算机、上网本、笔记本计算机、个人数字助理(PDA)、服务器、工作站、蜂窝电话、移动计算设备、智能电话、因特网设备或任何其他类型的计算设备的计算系统(未示出)中。在另一实施例中，处理设备100可用在芯片上系统(SoC)系统中。在一个实施例中，SoC可以包括处理设备100和存储器。一个这样的系统的存储器是DRAM存储器。DRAM存储器可以位于与处理器和其他系统组件相同的芯片上。另外，诸如存储器控制器或图形控制器的其他逻辑块也可以位于芯片上。处理器核110可以执行处理设备10本文档来自技高网...

【技术保护点】
一种处理器，包括：处理核；存储器控制器，可操作地耦合至所述处理核，用于访问芯片外存储器中的数据；以及存储器加密引擎(MEE)，可操作地耦合至所述存储器控制器，所述MEE用于：响应于检测到关于与所述芯片外存储器相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，基于存储在安全范围寄存器上的值来标识与所述存储器位置相关联的安全级别指示符；以及考虑到所述安全级别指示符而访问与所述芯片外存储器的所述存储器地址范围相关联的数据项的至少一部分。

【技术特征摘要】
【国外来华专利技术】2015.07.20 US 14/803,9561.一种处理器，包括：处理核；存储器控制器，可操作地耦合至所述处理核，用于访问芯片外存储器中的数据；以及存储器加密引擎(MEE)，可操作地耦合至所述存储器控制器，所述MEE用于：响应于检测到关于与所述芯片外存储器相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，基于存储在安全范围寄存器上的值来标识与所述存储器位置相关联的安全级别指示符；以及考虑到所述安全级别指示符而访问与所述芯片外存储器的所述存储器地址范围相关联的数据项的至少一部分。2.如权利要求1所述的处理器，其特征在于，所述安全级别指示符标识所述芯片外存储器的仅加密存储器范围和完全保护存储器范围。3.如权利要求2所述的处理器，其特征在于，所述安全级别指示符包括一个或多个存储器地址范围，用于标识所述芯片外存储器的所述仅加密存储器范围和所述完全保护存储器范围中的至少一个。4.如权利要求2所述的处理器，其特征在于，所述安全级别指示符包括将所述芯片外存储器分成所述仅加密存储器范围和所述完全保护存储器范围的存储器地址。5.如权利要求2所述的处理器，其特征在于，响应于检测到所述数据项要被传输至所述芯片外存储器的所述仅加密存储器范围，所述MEE进一步用于加密与所述数据项相关联的数据。6.如权利要求2所述的处理器，其特征在于，响应于检测到所述数据项要从所述芯片外存储器的所述仅加密存储器范围传输，所述MEE进一步用于解密与所述数据项相关联的数据。7.如权利要求2所述的处理器，其特征在于，响应于检测到所述数据项要被传输至所述芯片外存储器的所述完全保护存储器范围，所述MEE进一步用于存储与所述数据项相关联的加密元数据。8.如权利要求2所述的处理器，其特征在于，响应于检测到所述数据项要从所述芯片外存储器的所述完全保护存储器范围传输，所述MEE进一步用于检索与所述数据项相关联的加密元数据。9.如权利要求2所述的处理器，其特征在于，所述数据由与所述处理器核相关联的指令集架构(ISA)指令保护，所述ISA指令保护所述数据免受软件攻击，并且与所述ISA指令相关联的存储器的范围存储在所述完全保护存储器范围中以保护所述数据免受主动和重放攻击。10.一种方法，包括：响应于检测到关于与芯片外存储器设备相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，使用处理设备基于存储在安全范围寄存器上的值来标识与所述存储器位置相关联的安全级别指示符；以及考虑到所述安全级别指示符而使用所述处理设备访问与所述芯片外存储器的所述存储器地址范围相关联的数据项的至少一部分。11.如权利要求10所述的方法，其特征在于，所述安全级别指示符标识所述芯片外存储器设备的仅加密存储器范围和完全保护存储器范围。12.如权利要求11所述的方法，其特征在于，所述安全级别指示符包括标识所述芯片外存储器设备的所述仅加密存储器范...

【专利技术属性】
技术研发人员：B·巴塔查里亚，R·玛卡拉姆，A·L·桑托尼，G·Z·克里索斯，S·P·约翰逊，B·S·莫里斯，F·X·麦克金，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US