本申请公开了用于针对硬件重放攻击和存储器访问模式泄漏的提高的恢复力的存储器地址总线保护。本文详述了利用经密码认证的地址总线CAAB保护的实施例,CAAB保护使用智能存储器设计来防止对地址总线的攻击而不被检测到,并消除存储器总线作为攻击者进行访问模式分析的可观察表面。本文描述了具有密码能力的智能存储器模块。存储器控制器和智能存储器模块交换密钥,并且通过使用该密钥,(地址总线上的)地址被加密,并且利用经认证的计数器模式加密来保护完整性。存储器控制器在接收到读取或写入请求时对地址进行加密(例如,使用预生成的经加密计数器以使密码开销最小化)。消息认证码MAC也与经加密的地址一起生成,以便能够检测对经加密的地址的修改。够检测对经加密的地址的修改。够检测对经加密的地址的修改。
【技术实现步骤摘要】
用于针对硬件重放攻击和存储器访问模式泄漏的提高的恢复力的存储器地址总线保护
技术介绍
[0001]目前的存储器保护技术,如多密钥加密和具有完整性的多密 钥,集中于经由基于硬件的密码方法对存储器数据总线上的数据的机密性 和完整性(篡改)进行保护。
[0002]在目前的多密钥加密和具有完整性的多密钥的方法中,存储 器地址总线没有得到保护。这使得系统容易受到其他攻击,诸如对过期数 据的硬件重放和访问模式监控。作为示例,攻击者可以在地址总线上翻转 位,从而有效地导致写入被丢弃(写入到与预期位置不同的位置)。此类 攻击可以通过允许硬件攻击者进行成功的重放攻击(即,重放被丢弃/写出 到安全范围外部的不同区域的高速缓存行的过期版本)而颠覆安全范围的 安全性。通过使用这些简单的地址位翻转技术,攻击者可以误导安全关键 数据(潜在地确定性地误导至所分配的感兴趣的系统地址),并且还知晓 何时重放回过期数据。
附图说明
[0003]将参考附图来描述根据本公开的各实施例,其中:
[0004]图1是根据本公开的实现方式的计算系统100的示意性框 图,该计算系统100使用TD在虚拟化系统中提供隔离。
[0005]图2是描绘根据一些实施例的实现TD架构的示例计算系统 的框图。
[0006]图3图示芯片上系统(SoC)或处理器与存储器的交互的各 种实施例。
[0007]图4更详细地图示利用CAAB和/或RR
‑
树的实施例。
[0008]图5图示经认证的Diffie
‑
Hellman协议密钥交换的实施例。
[0009]图6图示使用CAAB的总线使用的实施例。
[0010]图7图示用于使用CAAB的方法的实施例。
[0011]图8图示示例性RR
‑
树的实施例。
[0012]图9图示用于使用RR
‑
树的方法的实施例。
[0013]图10图示示例性系统的实施例。
[0014]图11图示可具有多于一个的核、可具有集成存储器控制器、 并且可具有集成图形器件的处理器的实施例的框图。
[0015]图12(A)是图示根据实施例的示例性有序流水线以及示例性 寄存器重命名的乱序发布/执行流水线两者的框图。
[0016]图12(B)是图示根据实施例的要包括在处理器中的有序架构 核的示例性实施例和示例性的寄存器重命名的乱序发布/执行架构核两者的 框图。
[0017]图13图示(多个)执行单元电路的实施例。
[0018]图14是根据一些实施例的寄存器架构的框图。
[0019]图15图示指令格式的实施例。
[0020]图16图示寻址字段的实施例。
[0021]图17图示第一前缀的实施例。
[0022]图18(A)
‑
图18(D)图示如何使用第一前缀的R、X和B字段 的实施例。
[0023]图19(A)
‑
图19(B)图示第二前缀的实施例。
[0024]图20图示第三前缀的实施例。
[0025]图21图示根据实施例的对照使用软件指令转换器将源指令 集中的二进制指令转换成目标指令集中的二进制指令的框图。
具体实施方式
[0026]本公开涉及至少用于防御重放攻击的方法、装置、系统和非 暂态计算机可读存储介质。为了防御
技术介绍
中提到的攻击类型,直接的 解决方案是在存储器上建立重放保护树。然而,这引发了很大的性能成本, 因为随着每次读取和写入访问,重放树需要被验证/更新,以确保从存储器 读取的数据是处理器先前写入的数据。这种解决方案的最坏情况的开销可 以高达7倍,在16线程系统中平均为3倍(来自具有服务器工作负载的性 能模型)。这在实际用例场景中往往是不可接受的。
[0027]在不受保护的地址总线的情况下,连同增加主动攻击者可以 进行硬件重放攻击的容易程度,被动攻击者可以静静地观察地址总线从而 获得与已被证明在某些场景下导致信息泄漏的访问模式有关的信息。为了 防止访问模式公开,可以使用不经意(Oblivious)RAM(ORAM),每当 特定行/地址/块被读取或写入时,ORAM对该特定行/地址/块的DRAM位 置进行随机化。然而,这样做会导致极大的性能/带宽成本,其中最先进的 ORAM设计会导致典型的存储器尺寸的至少5
‑
10倍的开销。
[0028]本文详述了利用经密码认证的地址总线(CAAB)保护的实 施例,CAAB保护使用智能存储器设计来防止对地址总线的攻击而不被检 测到,并消除存储器总线作为攻击者进行访问模式分析的可观察表面。本 文详述的实施例描述了具有密码能力的智能存储器模块。在一些实施例中, 存储器控制器和智能存储器模块交换密钥,并且通过使用该密钥,(地址 总线上的)地址被加密,并且利用经认证的计数器模式加密来保护完整性。 存储器控制器在接收到读取或写入请求时对地址进行加密(例如,使用预 生成的经加密计数器以使密码开销最小化)。消息认证码(MAC)也与经 加密的地址一起生成,以便能够检测对经加密的地址的修改。
[0029]为了发送MAC,在一些实施例中,存储器总线上的周期被“占 用”以仅发送MAC。实现存储器智能的微控制器用于对地址进行解密,并 验证其完整性(在接收到对应的MAC之后并且在服务读取或写入命令之 前)。地址总线上的任何修改将被检测为完整性失败。
[0030]在一些实施例中,经随机化的重放树(RR
‑
树)被部署(有 时与CAAB一起),以检测硬件重放攻击,其中硬件攻击者通过记录和重 放MAC来直接修改存储器内容。RR
‑
树引入了随机化重放验证的概念,其 中通过在对受保护的存储器的每次写入时更新树来保持重放树处于最新状 态,但使用下面列出的若干方法之一随机地验证从受保护的存储器的读取。 RR
‑
树为对存储器的重放攻击增加了非确定性,因为同一地址可能在一次访 问中针对重放树被验证,而在对同一地址的不同访问中可能不被验证。在 大多数安全设置中,RR
‑
树被设置为在每次读取时进行验证。在一些实施例 中,验证的频率是可选择的。这允许RR
‑
树的使用在安全和性能之间提供 了可调整的平衡,同时使对存储器的所有重放攻击都是非确定的。
[0031]如在本公开中所构想,实施例包括称为受信任域扩展(TDX) 的处理器安全性能力,以经由存储器加密和完整性的使用、经由存储器控 制器引擎来满足增加的安全目标。如在TDX中所使用,受信任域(TD) 是受保护的VM。
[0032]实施例包括称为安全扩展页表(SEPT)的附加扩展页表 (EPT)结构,该附加扩展页表(EPT)结构由处理器用于TD私有页走查。 SEPT是逐TD的EPT(即,每个TD具有其自身的SEPT),该逐TD的 EPT仅由受信任域资源管理器(TDRM)经由新添加到处理器的指令集架 构(ISA)的特殊指令来管理。在不使本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种装置,包括:存储器控制器电路,用于将读取请求和写入请求发送至存储器设备,所述存储器控制器电路用于使用地址总线、控制总线和数据总线耦合至所述存储器设备;以及存储器保护电路,用于生成要在所述地址总线上发送至所述存储器设备的受保护的地址数据。2.如权利要求1所述的装置,其中,所述地址总线上的所述地址数据用于使用消息认证码MAC来保护,所述MAC用于对所述地址数据生成并且用于在与所述受保护的地址数据不同的周期中被发送。3.如权利要求2所述的装置,其中,所述MAC用于通过认证单元执行GHASH函数来生成。4.如权利要求2所述的装置,其中,所述存储器保护电路用于对所述地址加密,其中,对所述地址数据的保护包括经加密的数据和所述MAC。5.如权利要求4所述的装置,其中,所述存储器保护电路包括密码单元,所述密码单元用于支持多个加密密钥和AES
‑
XTS加密的使用。6.如权利要求1
‑
5中任一项所述的装置,其中,所述数据总线上的数据用于被加密。7.如权利要求1
‑
6中任一项所述的装置,进一步包括:存储器设备,用于通过将所生成的MAC与所接收的受保护的地址数据MAC进行比较来验证所接收的请求。8.一种装置,包括:控制器,用于接收存储器请求,所述请求至少包括地址数据和控制数据;存储器设备,用于存储经随机化的重放树;以及重放逻辑,用于基于所接收的请求的类型来响应确定要执行的一个或多个动作,其中,对于读取请求,所述重放逻辑用于引起随机数的生成,将所述随机数与阈值进行比较,并且用于当所述随机数大于所述阈值时,执行对所述经随机化的重放树的树走查以验证所述请求的新鲜度,并且用于当所述随机数小于所述阈值时,跳过对所述经随机化的重放树的任何树走查。9.如权利要求8所述的装置,其中,所述经随机化的重放树包括至少一个计数器级别和元数据,所述元数据包括版本和MAC数据。10.如权利要求9所述的装置,其中,在所述经随机化的重放树的顶部的计数器级别存储在所述存储器设备的外部。11.如权利要求8
‑
10中任一项所述的装置,其中,所述阈值通过...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。