具有能够实现TDX KEYID缩放的自包含范围的TDX岛所公开的实施例涉及具有自包含范围的信任域岛。在一个示例中,系统包括多个套接口,每个套接口包括多个核、多个多密钥总存储器加密(MK
【技术实现步骤摘要】
具有能够实现TDX KEYID缩放的自包含范围的TDX岛
[0001]本专利技术的领域一般涉及计算机处理器架构,并且更特别地涉及具有自包含范围(self-contained scope)以能够实现TDIX KeyID缩放(scaling)的信任域岛扩展(Trust Domain Island Extension,TDIX)岛。
技术介绍
[0002]现代处理装置采用磁盘加密来保护静止数据。然而,存储器中的数据是明文,并且易受攻击。攻击者可以使用各种技术,包括基于软件和硬件的总线扫描、存储器扫描、硬件探测等,以从存储器检索数据。来自存储器的该数据可以包括敏感数据,包括隐私敏感数据、IP敏感数据,以及还有用于文件加密或通信的密钥(key)。随着利用由云服务提供商提供的基于虚拟化的托管服务将数据和企业工作负荷移动到云中的当前趋势,数据的暴露进一步加剧。
附图说明
[0003]本专利技术通过示例的方式说明,并且不限于附图中的图,其中相似附图标记指示类似元素,并且其中:图1是示出了根据一些实施例用于执行指令的处理组件的框图;图2A示出了使用映射到套接口的信任域岛(TDI)岛在虚拟化系统中提供隔离的多套接口计算系统的实施例的框图;图2B示出了使用映射到存储器控制器的信任域岛(TDI)岛在虚拟化系统中提供隔离的多套接口计算系统的实施例的框图;图3示出了使用信任域岛(TDI)岛在虚拟化系统中提供隔离的计算系统的存储器映射的实施例;图4示出了根据信任域岛(TDI)架构的实施例用于创建TDI岛的方法的流程图;图5示出了使用信任域岛(TDI)在虚拟化系统中提供隔离的计算系统的实施例的框图;图6示出了使用信任域岛(TDI)在虚拟化系统中提供隔离的计算系统的另一实施例的框图;图7示出了使用TDI在虚拟化系统中提供隔离的计算系统的另一实施例的框图;图8是TDI架构的实施例的框图;图9示出了根据本公开的实施例用于创建TDI的方法的流程图;图10示出了根据本公开的实施例用于初始化信任域岛控制结构(TDICS)和信任域岛保护存储器(TDIPM)的方法的流程图;图11示出了根据本公开的实施例用于将逻辑处理器与TDI相关联的方法的流程图;图12示出了根据本公开的实施例用于将来自逻辑处理器的地址空间的存储器页添加到TDIPM的方法的流程图;图13示出了根据本公开的实施例用于将执行控制转移到逻辑处理器以执行TDI的方法
的流程图;图14示出了根据本公开的实施例用于破坏TDI的方法的流程图;图15示出了根据本公开的实施例用于防止TDI在逻辑处理器上执行的方法的流程图;图16示出了根据本公开的实施例用于从与TDI相关联的TDIPM中移除存储器页的方法的流程图;图17A-17B是示出了根据本专利技术的一些实施例的通用向量友好指令格式及其指令模板的框图;图17A是示出了根据本专利技术的一些实施例的通用向量友好指令格式及其A类指令模板的框图;图17B是示出了根据本专利技术的一些实施例的通用向量友好指令格式及其B类指令模板的框图;图18A是示出了根据本专利技术的一些实施例的示例性特定向量友好指令格式的框图;图18B是示出了根据一个实施例、构成全操作码字段的特定向量友好指令格式的字段的框图;图18C是示出了根据一个实施例、构成寄存器索引字段的特定向量友好指令格式的字段的框图;图18D是示出了根据一个实施例、构成扩增操作字段的特定向量友好指令格式的字段的框图;图19是根据一个实施例的寄存器架构的框图;图20A是示出了根据一些实施例的示例性有序流水线和示例性寄存器重命名、乱序发布/执行流水线两者的框图;图20B是示出了根据一些实施例、要被包含在处理器中的有序架构核的示例性实施例和示例性寄存器重命名、乱序发布/执行架构核两者的框图;图21A-B示出了更特定的示例性有序核架构的框图,该核将是芯片中的若干逻辑块(包括相同类型和/或不同类型的其他核)中的一个;图21A是根据一些实施例、单个处理器核连同其与片上互连网络以及与其2级(L2)高速缓存的本地子集的连接的框图;图21B是根据一些实施例在图21A中的处理器核的部分的展开图;图22是根据一些实施例的处理器的框图,所述处理器可以具有多于一个核、可以具有集成存储器控制器并且可以具有集成图形;图23-26是示例性计算机架构的框图;图23示出了根据一些实施例的系统的框图;图24是根据某实施例的第一更特定的示例性系统的框图;图25是根据一些实施例的第二更特定的示例性系统的框图;图26是根据一些实施例的片上系统(SoC)的框图;以及图27是根据一些实施例对比将源指令集中的二进制指令转换成目标指令集中的二进制指令的软件指令转换器的使用的框图。
具体实施方式
[0004]在以下描述中,阐述了许多特定细节。然而,要理解,可以在没有这些特定细节的情况下实践一些实施例。在其他实例中,尚未详细示出公知的电路、结构和技术,以免使对本描述的理解模糊。
[0005]说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例包括特征、结构或特性,但是每个实施例不一定需要包括该特征、结构或特性。此外,此类短语不一定是指相同的实施例。此外,当描述关于实施例的特征、结构或特性时,如果明确描述,则认为在本领域技术人员的知识范围内关于其他实施例的这种特征、结构或特性是有效的。
[0006]本文公开了在信任域岛扩展(TDIX)架构上构建的本专利技术的实施例。TDIX架构基于使用和安全性要求,能够实现1)总存储器加密,2)多密钥存储器加密,以及3)信任域岛。
[0007]在本公开的实现中,提供了TDI架构和指令集架构(ISA)扩展(在本文中被称为信任域岛扩展(TDIX))架构。本文公开的TDIX架构有时被简单地称为信任域扩展(TDX)架构,其中信任域与信任域岛共享许多相同的特征,但是不将主机密钥标识符的范围限制为“岛”。
[0008]信任域岛/信任域TDX和TDIX两者都表现出某些优点:它们虑及与不同客户端机器(例如,VM)、客户操作系统、主机操作系统、管理程序等对应的多个安全TDI(或TD)。另外,由相同客户端在相同客户OS内运行的不同应用可以使用多个TDI(或TD)来安全地执行。每个TDI(或TD)可以使用对于在信任域外部执行的软件不可用的一个或多个私有密钥。在一些实施例中,在一个TDI(或TD)中执行的软件有权访问该特定信任域岛专用的私有密钥以及可由多个TDI使用的共享密钥。例如,在TDI内部运行的软件程序可以将私有密钥用于它的安全执行(例如,读、写、执行操作),并且相同的软件可以使用共享密钥来访问与其他TDI共享的结构或装置(例如,打印机、键盘、鼠标、监视器、网络适配器、路由器等)。
[0009]TDI甚至可以从特权用户得到保护,所述特权用户诸如OS(主机或客户)、VMM、基本输入/输出系统(BIOS)固件、系统管理模式等。因此,即使恶意软件接管特权信任域岛,诸如OS,TDI中的存储器中存储的敏感数据也将保持受保护。
[0010]每个TDI可以独立于其他TDI操作,并且使用由信任域岛资源管理器(TDIRM)指配的(一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:多个核;至少一个多密钥总存储器加密电路(MK-TME)电路;至少一个p存储器控制器;以及信任域岛资源管理器(TDIRM),用于:初始化与TD岛相关联的信任域岛控制结构(TDICS),初始化与所述TD岛相关联的TD岛保护存储器(TDIPM),标识密钥所有权表(KOT)中的主机密钥标识符(HKID),将所述HKID指配给MK-TME电路中的密码密钥并且将所述HKID存储在所述TDICS中,将所述多个核中的第一核与所述TD岛相关联,将来自所述第一核的地址空间的存储器页添加到所述TDIPM,以及将执行控制转移到所述第一核以执行所述TD岛,并且其中,所述TDIPM的范围被限制到所述TD岛的边界。2.根据权利要求1所述的系统,其中,每个TD岛将被映射到所述多个套接口中的一个,并且其中,所述系统中的HKID的数量等于所述系统中的套接口的数量乘以KOT条目的数量。3.根据权利要求1所述的系统,其中,每个TD岛将被映射到所述多个套接口中的每个套接口中的所述多个存储器控制器中的一个,并且其中,所述系统中的HKID的数量等于套接口的数量乘以每个套接口中的存储器控制器的数量再乘以所述KOT中的条目的数量。4.根据权利要求1所述的系统,其中,每个TD岛将被映射到所述多个套接口中的每个套接口中的所述多个核中的一个,并且其中,所述系统中的HKID的数量等于套接口的数量乘以每个套接口中的核的数量再乘以所述KOT中的条目的数量。5.根据权利要求1-4中的任一项所述的系统,其中,所述多个套接口中的每个套接口还包括管理程序,并且其中,所述多个核中的每个核是虚拟机。6.根据权利要求1-4中的任一项所述的系统,还包括存储设备,用于硬件配置数据结构标识所述系统中的所述套接口、所述多个MK-TME电路和所述存储器控制器,所述TDIRM在初始化所述TD岛时访问所述硬件配置。7.根据权利要求1-4中的任一项所述的系统,其中,所述多个MK-TME电路在执行加密和解密时将使用符合电子和电气工程师协会(IEEE)1619的密文窃取高级加密标准(XTS-AES)。8.一种由系统中的信任域岛(TDI)资源管理器(TDIRM)执行的方法,所述系统包括多个套接口,每个套接口包括多个核和多个多密钥总存储器加密(MK-TME)电路,所述方法包括:初始化与第一TDI相关联的TDI控制结构(TDICS);初始化与所述第一TDI相关联的TDI保护存储器(TDIPM);标识密钥所有权表(KOT)中的主机密钥标识符(HKID);将所述HKID指配给密码密钥并且将所述HKID存储在所述TDICS中;以及将第一核与所述第一TDI相关联,将来自所述第一核的地址空间的存储器页添加到所述TDIPM,以及将执行控制转移到所述第一核以执行所述第一TDI,其中,所述TDIPM的范围被限制于所述第一TDI的边界。9.根据权利要求8所述的方法,其中,每个TD岛被映射到所述多个套接口中的一个,并
且其中,所述系统中的HKID的数量等于所述系统中的套接...
【专利技术属性】
技术研发人员:G,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。