使用与高速缓存行有关的存储器所有权位防止信任域访问制造技术

处理器包括处理器核以及耦合到该处理器核的存储器控制器。存储器控制器包括密码引擎，该密码引擎用于：在针对高速缓存行的写入请求中检测存储器中的位置的物理地址内的密钥标识符(ID)；确定密钥ID是多个密钥ID中的信任域密钥ID；响应于确定了密钥ID是信任域密钥ID，对高速缓存行的所有权位置位以指示高速缓存行属于信任域；对高速缓存行进行加密以生成经加密的数据；确定与高速缓存行相关联的消息认证码(MAC)；并且将所述高速缓存行的经加密的数据、所有权位以及MAC写入存储器。

【技术实现步骤摘要】
使用与高速缓存行有关的存储器所有权位防止信任域访问
本公开涉及计算机系统，更具体地，涉及使用与高速缓存行有关的存储器所有权位防止信任域访问。
技术介绍
现代计算系统采用盘加密来保护静态地存储在硬盘驱动器盘或其他数据存储上的数据。然而，攻击者可以使用各种技术(包括总线扫描、存储器扫描等)从存储器检取数据。存储器本身可以包括用于盘加密的密钥，从而使在盘驱动器上被加密的数据暴露。即使首先对存储在存储器中的数据进行加密，对经加密的数据的访问仍然允许进行各种类型的重放攻击。因此，已经采用了各种技术来保护驻留在存储器的至少一些区域中的敏感数据。这样做已变得具有挑战性，尤其是在云或服务器环境中，其中在同一服务器上可同时支持(来自不同实体的)多个客户工作负载。对不同实体的数据进行充分安全保护的要求也已扩展到针对重放攻击的防护。附图说明图1A是图示根据一个实现方式的示例计算系统的框图，该示例计算系统使得信任域(TD)架构与多密钥完全存储器加密(MK-TME)技术能够在虚拟化系统中共存。图1B是图示根据一个实现方式的使得TD架构与M本文档来自技高网...

【技术保护点】
1.一种处理器，包括：/n处理器核；以及/n存储器控制器，耦合至所述处理器核，所述存储器控制器包括密码引擎，所述密码引擎用于：/n在针对高速缓存行的写入请求内检测存储器中的位置的物理地址中的密钥标识符ID；/n确定所述密钥ID是多个密钥ID中的信任域密钥ID；/n响应于确定了所述密钥ID是所述信任域密钥ID，对所述高速缓存行的所有权位置位以指示所述高速缓存行属于信任域；/n对所述高速缓存行进行加密以生成经加密的数据；/n确定与所述高速缓存行相关联的消息认证码MAC；以及/n将所述高速缓存行的所述经加密的数据、所述所有权位以及所述MAC写入所述存储器。/n

【技术特征摘要】
20190628 US 16/456,7181.一种处理器，包括：
处理器核；以及
存储器控制器，耦合至所述处理器核，所述存储器控制器包括密码引擎，所述密码引擎用于：
在针对高速缓存行的写入请求内检测存储器中的位置的物理地址中的密钥标识符ID；
确定所述密钥ID是多个密钥ID中的信任域密钥ID；
响应于确定了所述密钥ID是所述信任域密钥ID，对所述高速缓存行的所有权位置位以指示所述高速缓存行属于信任域；
对所述高速缓存行进行加密以生成经加密的数据；
确定与所述高速缓存行相关联的消息认证码MAC；以及
将所述高速缓存行的所述经加密的数据、所述所有权位以及所述MAC写入所述存储器。


2.根据权利要求1所述的处理器，其特征在于，所述存储器包括隔绝范围，存储在所述存储器中的与所述高速缓存行相关联的所述所有权位所被写入所述隔绝范围，所述处理器进一步包括管芯上高速缓存，用于对针对所述处理器核的所述所有权位进行高速缓存。


3.根据权利要求1所述的处理器，其特征在于，为了确定所述MAC，所述密码引擎进一步用于对至少所述经加密的数据、经加密的物理地址和所述所有权位的组合应用带密钥的散列算法。


4.根据权利要求1所述的处理器，其特征在于，所述所有权位与所述高速缓存行的纠错码ECC位一起被编码。


5.根据权利要求4所述的处理器，其特征在于，所述密码引擎进一步用于结合将所述高速缓存行写入所述存储器来生成ECC计算，其中所述所有权位被包括在所述ECC计算内。


6.根据权利要求1所述的处理器，其特征在于，响应于对所述高速缓存行的读取请求，所述密码引擎进一步用于：
确定所述读取请求内的第二密钥ID是否是所述多个密钥ID中的信任域密钥ID；以及
记录指示所述第二密钥ID是否是信任域密钥ID的访问类型位。


7.如权利要求6所述的处理器，其特征在于，所述密码引擎进一步用于：
确定所述访问类型位的值与所述所有权位的值匹配；
验证相对于所述MAC的完整性；以及
响应于所述读取请求并且响应于MAC不匹配，返回污染位以及与固定模式匹配的无效数据。


8.根据权利要求7所述的处理器，其特征在于，所述密码引擎进一步用于对所述密码引擎的密钥数据结构中的污染状态位置位，所述污染状态位与所述密钥ID相关联。


9.如权利要求6所述的处理器，其特征在于，所述密码引擎进一步用于：
确定所述访问类型位的值与所述所有权位的值不匹配；以及
响应于所述读取请求，返回污染位以及与固定模式匹配的无效数据。


10.一种方法，包括：
由处理器的存储器控制器在针对高速缓存行的写入请求内检测存储器中的位置的物理地址中的密钥标识符ID；
由所述存储器控制器确定所述密钥ID是多个密钥ID中的信任域密钥ID；
由所述存储器控制器响应于确定了所述密钥ID是所述信任域密钥ID，对所述高速缓存行的所有权位置位以指示所述高速缓存行属于信任域；
由所述存储器控制器对所述高速缓存行进行加密以生成经加密的数据；
由所述存储器控制器确定与所述高速缓存行相关联的消息认证码MAC；以及
由所述存储器控制器将所述高速缓存行的所述经加密的数据、所述所有权位以及所述MAC写入所述存储器。


11.根据权利要求10所述的方法，其特征在于，所述存储器包括隔绝范围，存储在所述存储器中的与所述高速缓存行相关联的所述所有权位被写入所述隔绝范围，所述方法进一步包括：将所述所有权位高速缓存在所述处理器...

【专利技术属性】
技术研发人员：S·查博拉，V·尚伯格，R·L·萨希塔，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US