[发明专利]一种基于RISC-V架构的硬件内存加密系统及其应用

权利要求书

1.一种基于RISC-V架构的硬件内存加密系统，其特征在于，包括：基于RISC-V架构所设置的密钥管理模块、加解密引擎、传输模块和编程接口；其中，

所述RISC-V架构的指令集经扩展，包含有用于内存加密的setcbit和setkybit两条指令，通过所述编程接口，使得所述密钥管理模块能够用于调用指令setcbit和setkybit，以分别设置已申请内存空间的加密标志位和密钥编号，从而将内存空间设置为加密空间；

所述密钥管理模块在进行密钥管理时分为密钥存储和密钥获取两部分，其中，采用片上加内存的密钥存储方式，并采用LRU替换策略维护片上缓冲区，采用Cuckoo Hash KeyTable作为内存密钥表；

所述RISC-V架构的指令集经扩展，还包含用于内存数据传输的datats和accdatats两条指令，通过配置所述编程接口，使得所述传输模块能够调用指令datats和accdatats，分别进行内存数据的发送和接收。

2.根据权利要求1所述的硬件内存加密系统，其特征在于，所述密钥管理模块还用于根据用户请求，调用setkybit、setcbit指令，将待释放内存页面的密钥编号和加密标志位恢复为默认值，从而将内存空间设置为非加密空间；通过Free方法，通知操作系统释放该内存空间，从而释放加密内存空间。

3.根据权利要求1所述的硬件内存加密系统，其特征在于，采用RV64R-type指令格式，设计得到指令genky、setky、setcbit、setkybit、datats以及accdatats的定义方法，具体为：

定义genky指令的方法为：定义指令无写回结果，指令无需读取操作数；

定义setky指令的方法为：定义指令无写回结果，指令需读取操作数rs1，操作数rs1的值为共享密钥虚拟地址；

定义setcbit指令的方法为：定义指令无写回结果，指令需读取操作数rs1，操作数rs1的值为待设置的虚拟客机页面的虚拟地址；

定义setkybit指令的方法为：定义指令无写回结果，指令需读取操作数rs1，操作数rs1的值为待设置的虚拟客机页面的虚拟地址；

定义datats指令的方法为：定义指令无写回结果，指令需读取操作数rs1、rs2，操作数rs1的值为待传输内存的虚拟地址，操作数rs2的值为目标信息结构体的虚拟地址；

定义accdatats指令的方法为：定义指令无写回结果，指令需读取操作数rs1、rs2，操作数rs1的值为待接收数据的虚拟地址，操作数rs2的值为客机信息结构体的虚拟地址。

4.根据权利要求1所述的硬件内存加密系统，其特征在于，所述密钥管理模块进行密钥管理的方式为：

使用一个缓冲区存储部分虚拟机或进程的密钥，先访问缓冲区，若该密钥不存在，则在内存密钥表中查找，若仍不存在，生成一个密钥并进行存储；当进程被销毁，将该进程对应的所有密钥清除。