[发明专利]用于计数器模式存储器保护的间接目录

说明书

提供了一种处理器，其包括管芯上存储器、受到保护的存储器区域以及存储器加密引擎(MEE)。MEE包括用于以下操作的逻辑：接收针对在存储器的受到保护的区域中的特定页面中的数据的请求，以及访问间接目录中的指针，其中，指针指向存储在存储器的受到保护的区域外部的特定元数据页面。特定元数据页面包括用于保护特定页面的数据的安全性元数据的第一部分。MME逻辑还用于从存储器的受到保护的区域访问与特定页面相关联的安全性元数据的第二部分，以及基于安全性元数据的第一部分和安全性元数据的第二部分来确定特定页面的数据的真实性。

技术领域

本公开总体上涉及计算机安全性的领域，并且更具体地涉及使用计数器模式加密来保护存储器。

背景技术

计算系统(例如，在计算机上运行的硬件系统和软件系统)经常具有可以被硬件攻击或软件攻击(例如，通过互联网或其他通信网络接收到的恶意计算机程序)利用的未检测到的缺陷。硬件攻击和软件攻击可以包括特洛伊木马、病毒、蠕虫、间谍软件和其他恶意软件。许多现有的计算机安全性系统通过尝试防止攻击危害计算机系统的任何部分来对抗硬件攻击和软件攻击。可以为计算系统提供保护存储器中的敏感数据免受硬件攻击和软件攻击两者的特征。一些处理器提供用于加密、完整性和重放保护的密码机制。存储器加密保护存储器驻留数据的机密性。完整性保护防止攻击者对存储器中的密文(即，加密数据，与明文相反，明文是未加密数据)造成任何隐藏修改。重放保护消除了对密文的任何未检测到的时间性替换。在没有加密、完整性和重放保护的情况下，对系统具有物理访问的攻击者可以记录高速缓存行的快照，并且在稍后的时间点重放高速缓存行以修改高速缓存行并攻击计算机系统。

附图说明

图1是根据一个实施例的包括用于托管一个或多个安全飞地(enclave)的主机系统的示例系统的简化示意图；

图2是根据一个实施例的包括处理器和存储器加密引擎的示例设备的简化框图；

图3是表示根据一个实施例的应用证明的简化框图；

图4是表示根据一个实施例的示例重放完整性树结构的简化框图；

图5是表示根据一个实施例的存储器中安全性元数据的分配的简化图；

图6是表示根据一个实施例的示例间接目录的使用的简化框图；

图7是示出根据一个实施例的用于保护存储器的页面的示例技术的简化流程图；

图8是示出根据一个实施例的用于分配与存储器的受保护页面相对应的元数据页面的示例技术的简化流程图；

图9是表示根据一个实施例的使用安全飞地时的密钥的供应的简化框图；

图10是根据一个实施例的示例性处理器的框图；

图11是根据一个实施例的示例性移动设备系统的框图；以及

图12是根据一个实施例的示例性计算系统的框图。

在各幅附图中相同的附图标记和名称指示相同的元素。

具体实施方式