【技术实现步骤摘要】
信任域架构与多密钥总存储器加密技术在服务器中的共存
本公开涉及计算机系统;更具体地说,涉及确保信任域架构与多密钥总存储器加密技术在服务器中的共存。
技术介绍
现代处理设备采用磁盘加密来保护静态数据。然而,存储器中的数据采用明文(plaintext)形式,并且容易受到攻击。攻击者可以使用各种各样的技术,包括基于软件和硬件的总线扫描、存储器扫描、硬件探测等等,以从存储器中检索数据。来自存储器的此数据可以包括敏感数据,例如隐私敏感数据、IP敏感数据、以及还有用于文件加密或通信的密钥。随着利用云服务提供商提供的基于虚拟化的托管服务将数据和企业工作负荷移动到云中的当前趋势,数据的暴露被进一步加剧。附图说明图1A是图示了根据一个实现方式的示例计算系统的框图,该示例计算系统使得能够实现信任域(TD)架构与多密钥总存储器加密(MK-TME)技术在虚拟系统中的共存。图1B是图示了根据一个实现方式的使得能够实现TD架构与MK-TME技术的共存的计算系统的处理器的示例处理器核的框图。图1C是图示了根据另一实...
【技术保护点】
1.一种处理器,其包括:/n用以执行管理程序的处理器核,所述处理器核包括用以存储以下各项的硬件寄存器:/n位范围,用以标识物理存储器地址中的定义了密钥标识符(ID)的地址位的第一数量;以及/n密钥ID中的划分密钥ID,用以标识密钥ID的非受限密钥ID与受限密钥ID之间的边界;以及/n其中所述处理器核用以:/n分配所述非受限密钥ID中的至少一个以供所述管理程序使用;以及/n将密钥ID的第一密钥ID分配给信任域基础设施的第一信任域,其中所述第一密钥ID是所述受限密钥ID之一;以及/n耦合到所述处理器核的存储器控制器,用以将存储器的第一物理页面分配给所述第一信任域,其中所述存储器...
【技术特征摘要】
20181220 US 16/2273861.一种处理器,其包括:
用以执行管理程序的处理器核,所述处理器核包括用以存储以下各项的硬件寄存器:
位范围,用以标识物理存储器地址中的定义了密钥标识符(ID)的地址位的第一数量;以及
密钥ID中的划分密钥ID,用以标识密钥ID的非受限密钥ID与受限密钥ID之间的边界;以及
其中所述处理器核用以:
分配所述非受限密钥ID中的至少一个以供所述管理程序使用;以及
将密钥ID的第一密钥ID分配给信任域基础设施的第一信任域,其中所述第一密钥ID是所述受限密钥ID之一;以及
耦合到所述处理器核的存储器控制器,用以将存储器的第一物理页面分配给所述第一信任域,其中所述存储器的第一物理页面的数据要利用与所述第一密钥ID相关联的加密密钥被加密。
2.根据权利要求1所述的处理器,其中所述位范围包括非受限位的第一位子范围和受限位的第二位子范围,其中对于所述非受限密钥ID,所述受限位中的每一个要具有第一二进制值,并且其中对于所述受限密钥ID,所述受限位中的至少一个要具有与所述第一二进制值不同的第二二进制值。
3.根据权利要求2所述的处理器,其中所述存储器控制器进一步用以:
检测涉及被分配给所述第一信任域的所述存储器的第一物理页面的存储器事务,其中所述存储器事务包括所述存储器的物理页面的物理存储器地址以及请求密钥ID;以及
响应于确定请求密钥ID的受限位中的至少一个具有第二二进制值而生成错误。
4.根据权利要求3所述的处理器,其中所述存储器事务是代码获取或使用页面遍历的存储器事务中的一个,并且其中所述错误是非受限密钥页面错误。
5.根据权利要求1至4中任一项所述的处理器,其中所述存储器控制器进一步用以:响应于检测到由所述第一信任域的信任计算基(TCB)外部的软件程序发起的并且涉及所述存储器的第一物理页面的存储器事务而生成错误。
6.根据权利要求1至4中任一项所述的处理器,其中所述处理器核进一步用以将第二密钥ID分配给第二信任域,其中所述第二密钥ID是所述受限密钥ID之一,并且其中所述存储器控制器进一步用以:
将所述存储器的第二物理页面分配给所述第二信任域,其中所述存储器的第二物理页面中的数据要利用与所述第二密钥ID相关联的加密密钥被加密;
在密钥所有权表(KOT)中存储所述第一密钥ID到所述第一信任域的分配和所述第二密钥ID到所述第二信任域的分配;以及
在存储器所有权表(MOT)中存储标识了所述存储器的第一物理页面到所述第一信任域的分配的第一信任域标识符和标识了所述存储器的第二物理页面到所述第二信任域的分配的第二信任域标识符。
7.根据权利要求6所述的处理器,其中所述存储器控制器进一步用以:
检测涉及所述存储器的第一物理页面的存储器事务,其中所述存储器事务包括所述存储器的第一物理页面的物理存储器地址以及所述第二密钥ID;
参考所述MOT,以确定所述第二密钥ID不是所述存储器的第一物理页面的正确属性;以及
生成错误。
8.根据权利要求6所述的处理器,其中所述存储器控制器进一步用以:
检测涉及所述存储器的第一物理页面的存储器事务,其中所述存储器事务源自于所述第二信任域,并且包括所述存储器的第一物理页面的存储器地址以及所述第一密钥ID;
参考所述KOT,以确定所述第一密钥ID没有被分配给所述第二信任域;以及
生成错误。
9.根据权利要求1至8中任一项所述的处理器,其中所述管理程序用以:
将与所述存储器的第一物理存储器地址相关联的第一物理页面标记为私有的,其中所述标记包括在针对所述第一信任域的一组扩展页面表(EPT)内清空与所述第一物理页面相关联的访客物理地址的条目中的共享位(s位)的值;
使用一组访客页面表将访客虚拟地址转换成所述访客物理地址;
使用所述EPT将所述访客物理地址转换成所述第一物理存储器地址;
基于所述访客物理地址中的s位的值从所述处理器的安全存储装置检索所述第一密钥ID;以及
生成包括所述第一密钥ID和所述第一物理存储器地址的存储器事务。
10.根据权利要求9所述的处理器,其中所述处理器核进一步包括多路复用器,用以基于s位的值在所述第一密钥ID与第二密钥ID之间进行选择,所述第二密钥ID包括附加到所述EPT的条目内的第二物理存储器地址的非受限密钥ID。
11.根据权利要求1至8中任一项所述的处理器,其中所述管理程序用以:
将第二密钥ID分配给所述第一信任域,所述第二密钥ID是所述非受限密钥ID之一;
将与所述存储器的第二物理存储器地址相关联的第二物理页面标记为共享的,其中所述标记包括在针对所述第一信任域的一组扩展访客页面表(EPT)内设置与所述第二物理页面相关联的访客物理地址的条目中的共享位(s位)的值;
使用一组访客页面表将访客虚拟地址转换成所述访客物理地址;
使用所述EPT并基于s位的值来转换所述访客物理地址,以从所述EPT中的条目获得所述第二物理存储器地址和所述第二密钥ID的组合;以及
生成包括所述第二密钥ID和所述第二物理存储器地址的存储器事务。
12.一种系统,其包括:
存储器设备;
硬件寄存器,用以存储:
位范围,用以标识物理存储器地址中的定义了密钥标识符(ID)的地址位的第一数量;以及
密钥ID中的划分密钥ID,用以标识密钥ID的非受限密钥ID与受限密钥ID之间的边界;以及
耦合到所述存储器设备的处理器,所述处理器包括硬件寄存器和存储器控制器,其中所述处理器用以执行第一软件程序,以将密钥ID的第一密钥ID分配给信任域基础设施的第一信任域,其中所述第一密钥ID是所述受限密钥ID之一;以及
其中...
【专利技术属性】
技术研发人员:I欧齐尔,A阿哈伦,D卡斯皮,B蔡金,J多维克,G格尔宗,BE亨特利,FX麦基恩,G奈格尔,CV罗扎斯,RL萨希塔,V尚博格,A扎尔茨曼,HM科斯拉维,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。