提供了基于边带总线设备(SPD)中枢的内容和存储器模块上的组件的序列号标识符的加密散列。加密散列提供了通过将SPD中枢内容绑定到用于认证的存储器模块证书来缓解各种供应链攻击的能力。基于加密签名,平台信任证书,因此将SPD中枢内容绑定到存储器模块证书创建了一种安全的方式来确保存储器模块上的组件尚未被篡改,并且报告的存储器模块的属性是正确的。的。的。
【技术实现步骤摘要】
用于认证存储器模块的方法和装置
[0001]本公开涉及存储器模块,并且更具体地涉及存储器模块的认证。
技术介绍
[0002]存储器模块是印刷电路板,在该印刷电路板上存储器集成电路(“芯片”)经由连接器(也称为“插座”)被安装到另一印刷电路板,例如,母板。连接器被安装在母板上,并且存储器模块被插入到连接器中。连接器实现了在存储器模块与母板上的电路之间的互连。双列直插式存储器模块(DIMM)在存储器模块的每一侧上具有单独的电触点。
[0003]除了存储器集成电路之外,存储器模块还可以包括串行存在检测(SPD)集成电路(“芯片”)。SPD集成电路存储关于存储器模块的信息,包括存储器模块上的存储器集成芯片的类型、制造商、序列号以及由存储器控制器使用以访问存储器集成芯片的时序参数。存储在SPD集成电路中的信息可以在系统的上电期间由内置操作系统(BIOS)读取,以配置存储器控制器以使用DIMM上的存储器集成电路。
附图说明
[0004]随着以下详细描述的进行,并且在参考附图时,所要求保护的主题的实施例的特征将变得显而易见,其中相同的附图标记描绘了相同的部分,并且在附图中:
[0005]图1是包括多个动态随机存取存储器(DRAM)芯片的存储器模块100的框图;
[0006]图2是具有存储器子系统的系统的实施例的框图,该存储器子系统包括耦合到存储器控制器的至少一个存储器模块;
[0007]图3示出了用于DIMM的证书链的示例;
[0008]图4是示出存储在SPD中枢(hub)中的SPD数据的组织的框图;
[0009]图5是示出存储在图4中示出的SPD数据中的块0的前三个字节中的SPD数据的示例的框图;
[0010]图6是示出存储在块2中的字节320
‑
383中的SPD数据的示例的框图;
[0011]图7是示出图1中示出的存储器模块中的SPD中枢、RCD和边带总线的框图;
[0012]图8是示出用于针对存储器模块生成属性序列号的方法的流程图;
[0013]图9是示出用于测量SPD中枢和存储器模块中的组件以认证和证明DIMM的方法的流程图;
[0014]图10是包括存储器模块的计算机系统的实施例的框图。
[0015]虽然以下具体实施方式将参考所要求保护的主题的说明性实施例进行,但是其许多替代方案、修改和变型对于本领域技术人员来说将是显而易见的。因此,所要求保护的主题旨在被宽泛地看待,并且如所附权利要求中所阐述的那样被定义。
具体实施方式
[0016]如果存储在SPD集成电路(也称为SPD中枢)中的信息被修改以错误表示存储器芯
片的参数和/或DIMM中的存储器芯片被替换为具有不同参数的存储器芯片,则可能会出现存储器性能问题。例如,伪造DIMM的最常见的问题中的一个问题是错误表示,其中DIMM的SPD中枢被篡改以表示更高的DRAM容量或频率。
[0017]针对DIMM的证明确保了DIMM及其组件的真实性和完整性。对于DIMM证明,主机以证书的形式从DIMM请求证据。证书与信任根相关联并且被加密地签名,因此该证书可以用于验证DIMM的合法性。一旦被验证,主机会评估DIMM及其组件的可信度。由主机进行的这种可信度评估对于机密计算是必要的,因为安全工作负载需要能够信任存储和管理数据的设备,以确保机密性和完整性。
[0018]存储在SPD中枢中的数据(也称为SPD中枢内容)包括关于DIMM的信息(属性),该信息包括DIMM上的存储器集成芯片的类型、DIMM的制造商、序列号标识符以及要由存储器控制器使用以访问DIMM上的存储器集成芯片的时序参数。
[0019]在制造之后,仅基于序列号标识符创建的加密散列将是静态的,并且如果DIMM被错误表示或者如果通过芯片回收黑市交换DRAM芯片,该加密散列不会改变。SPD中枢内容作为加密散列的一部分被包括,以生成针对存储器模块的属性序列号。加密散列还可以包括针对DIMM上的组件的序列号标识符。
[0020]基于SPD中枢内容和针对DIMM上的组件的序列号标识符的加密散列提供了通过将SPD中枢内容绑定到用于认证的DIMM证书来缓解各种供应链攻击的能力。基于加密签名,平台信任证书,因此将SPD中枢内容绑定到DIMM证书创建了一种安全的方式来确保DIMM上的组件尚未被篡改,并且报告的DIMM的属性是正确的。
[0021]分布式管理任务组(DMTF)安全协议和数据模型(SPDM)规范定义了用于通过各种传输和物理介质在设备之间执行消息交换的消息、数据对象和序列。消息交换的描述包括硬件身份的认证和固件身份的测量。SPDM GET_MEASUREMENTS请求和MEASUREMENT响应可以用于认证和证明DIMM。
[0022]将参考下面讨论的细节来描述本专利技术的各种实施例和方面,并且附图将示出各种实施例。下面的描述和附图是对本专利技术的说明,不应被解释为限制本专利技术。描述了许多具体细节以提供对本专利技术的各种实施例的透彻理解。然而,在某些实例中,未描述公知的或常规的细节以便提供对本专利技术实施例的简明讨论。
[0023]在说明书中对“一个实施例”或“实施例”的引用意味着结合实施例描述的特定特征、结构或特性可以被包括在本专利技术的至少一个实施例中。在说明书的各处出现的短语“在一个实施例中”不一定全部指代同一实施例。
[0024]图1是包括多个动态随机存取存储器(DRAM)芯片104
‑
1、
……
、104
‑
8的存储器模块100的框图。主机系统经由主机存储器总线、DRAM总线118与DRAM芯片104
‑
1、
……
、104
‑
8通信。
[0025]存储器模块100经由边带总线116与主机系统通信。如本文所描述的边带总线116可以与JESD403
‑
1 JEDEC(联合电子设备工程委员会)模块边带总线标准兼容,该标准是Alliance I3C Basic
SM
串行总线标准的子集和超集。
[0026]存储器模块100具有两个温度传感器(TS)——第一温度传感器TS0 112和第二温度传感器TS1 114——以测量存储器模块100上的DRAM芯片104
‑
1、
……
、104
‑
8的温度。存储器模块100包括两个功率管理IC(PMIC)108和110、注册时钟驱动器(RCD)106和边带总线设
备中枢(SPD中枢)102,该SPD中枢102包括串行存在检测(SPD)设备122,该SPD设备用作SPD以将边带总线116重新驱动到用于功率管理IC(PMIC)108、110、注册时钟驱动器(RCD)106以及第一温度传感器TS0 112和第二温度传感器TS1 114的本地总线120。
[0027]在另一个实施例中,存储器模块100可以包括多个非易失性存本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种存储器模块,包括:多个存储器设备;以及边带总线设备中枢,所述边带总线设备中枢包括非易失性存储器,所述非易失性存储器用于存储所述多个存储器设备和所述存储器模块的属性、所述多个存储器设备的序列号和存储器模块属性号,所述存储器模块属性号是基于存储在所述非易失性存储器的一部分中的所述多个存储器设备和所述存储器模块的所述属性以及所述多个存储器设备的所述序列号生成的。2.根据权利要求1所述的存储器模块,其中,所述存储器模块属性号是使用加密散列函数生成的。3.根据权利要求2所述的存储器模块,其中,所述加密散列函数是使用私钥签名的,所述私钥是在所述存储器模块的制造期间提供的。4.根据权利要求1所述的存储器模块,其中,所述存储器模块是双列直插式存储器模块(DIMM)。5.根据权利要求1所述的存储器模块,其中,所述边带总线设备中枢包括串行总线以与耦合到所述存储器模块的基带管理控制器(BMC)通信。6.根据权利要求5所述的存储器模块,其中,所述串行总线是I3C串行总线。7.根据权利要求1所述的存储器模块,还包括:主机存储器总线,所述存储器模块用于响应于从耦合到所述主机存储器总线的主机接收到的请求,通过所述主机存储器总线返回所述多个存储器设备和所述存储器模块的所述属性。8.根据权利要求1所述的存储器模块,还包括:串行总线,所述存储器模块用于响应于从耦合到所述串行总线的基带管理控制器(BMC)接收到的请求,通过所述串行总线返回所述多个存储器设备和所述存储器模块的所述属性。9.根据权利要求1所述的存储器模块,其中,所述存储器模块属性号是在系统中使用所述存储器模块之前生成的。10.根据权利要求9所述的存储器模块,其中,所述存储器模块属性号是384位的。11.一种系统,包括:存储器模块,所述存储器模块包括:多个存储器设备;以及边带总线设备中枢,所述边带总线设备中枢包括非易失性存储器,所述非易失性存储器用于存储所述多个存储器设备和所述存储器模块的属性、所述多个存储器设备的序列号和存储器模块属性号,所述存储器模块属性号是基于存储在所述非易失性存储...
【专利技术属性】
技术研发人员:G,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。