[发明专利]使用与高速缓存行有关的存储器所有权位防止信任域访问

说明书

处理器包括处理器核以及耦合到该处理器核的存储器控制器。存储器控制器包括密码引擎，该密码引擎用于：在针对高速缓存行的写入请求中检测存储器中的位置的物理地址内的密钥标识符(ID)；确定密钥ID是多个密钥ID中的信任域密钥ID；响应于确定了密钥ID是信任域密钥ID，对高速缓存行的所有权位置位以指示高速缓存行属于信任域；对高速缓存行进行加密以生成经加密的数据；确定与高速缓存行相关联的消息认证码(MAC)；并且将所述高速缓存行的经加密的数据、所有权位以及MAC写入存储器。

技术领域

本公开涉及计算机系统，更具体地，涉及使用与高速缓存行有关的存储器所有权位防止信任域访问。

背景技术

现代计算系统采用盘加密来保护静态地存储在硬盘驱动器盘或其他数据存储上的数据。然而，攻击者可以使用各种技术(包括总线扫描、存储器扫描等)从存储器检取数据。存储器本身可以包括用于盘加密的密钥，从而使在盘驱动器上被加密的数据暴露。即使首先对存储在存储器中的数据进行加密，对经加密的数据的访问仍然允许进行各种类型的重放攻击。因此，已经采用了各种技术来保护驻留在存储器的至少一些区域中的敏感数据。这样做已变得具有挑战性，尤其是在云或服务器环境中，其中在同一服务器上可同时支持(来自不同实体的)多个客户工作负载。对不同实体的数据进行充分安全保护的要求也已扩展到针对重放攻击的防护。

附图说明

图1A是图示根据一个实现方式的示例计算系统的框图，该示例计算系统使得信任域(TD)架构与多密钥完全存储器加密(MK-TME)技术能够在虚拟化系统中共存。

图1B是图示根据一个实现方式的使得TD架构与MK-TME技术能够共存的计算系统的处理器的示例处理器核的框图。

图2A是图示根据一个实现方式的划分为TD和MK-TME密钥ID的加密密钥标识符(ID)空间的图。

图2B是图示根据一个实现方式的使用与物理存储器地址级联的地址空间的M个位编码并划分为TDX和MK-TMEi密钥ID的加密密钥ID的图。

图2C是根据一个实现方式的由密钥ID索引并存储密钥ID与加密密钥的关联性的微架构密钥加密表的图示。

图2D是根据一个实现方式的由密钥ID索引并存储密钥ID向各种信任域的分配的微架构密钥所有权表的图示。

图3是根据一个实现方式的用于对TD进行软件攻击的方法的流程图。

图4是图示根据一个实现方式的密码引擎与所有权位进行交互以跟踪高速缓存行的TD所有权的功能流程图。

图5是根据一个实现方式的用于在将高速缓存行写入存储器时写入所有权位的方法的流程图。

图6是根据一个实现方式的用于在读取存储器中的高速缓存行时读取所有权位的方法的流程图。

图7A-7B是根据各种实现方式的用于在高速缓存行读取操作期间使用所有权位和密钥ID污染指示符的方法的流程图。

图8A是图示用于处理器的微架构的框图，在该微架构中可使用本公开的一个实现方式。

图8B是图示根据本公开的至少一个实现方式而实现的有序流水线以及寄存器重命名级、乱序发布/执行流水线的框图。

图9图示根据一个实现方式的用于处理设备的微架构的框图，该处理设备包括使用在高速缓存行上标记的所有权位来提供TD存储器访问校验的逻辑电路。

图10是根据一个实现方式的计算机系统的框图。

图11是根据另一实现方式的计算机系统的框图。

图12是根据一个实现方式的片上系统的框图。

图13图示出计算系统的框图的另一实现方式。