[发明专利]支持用于存储器地址范围的可配置安全级别

权利要求书

1.一种处理器，包括：

处理核；

存储器控制器，可操作地耦合至所述处理核，用于访问芯片外存储器中的数据；以及

存储器加密引擎MEE，可操作地耦合至所述存储器控制器，所述MEE用于：

响应于检测到关于与所述芯片外存储器相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，基于存储在安全范围寄存器上的值来标识与所述存储器位置相关联的安全级别指示符，其中所述安全级别指示符标识所述芯片外存储器的仅加密存储器范围和完全保护存储器范围，并且其中所述完全保护存储器范围使用由所述存储器加密引擎MEE生成的加密元数据来提供对数据的加密、完整性和重放保护；以及

考虑到所述安全级别指示符而访问与所述芯片外存储器的所述存储器地址范围相关联的数据项的至少一部分。

2.如权利要求1所述的处理器，其特征在于，所述安全级别指示符包括一个或多个存储器地址范围，用于标识所述芯片外存储器的所述仅加密存储器范围和所述完全保护存储器范围中的至少一个。

3.如权利要求1所述的处理器，其特征在于，所述安全级别指示符包括将所述芯片外存储器分成所述仅加密存储器范围和所述完全保护存储器范围的存储器地址。

4.如权利要求1所述的处理器，其特征在于，响应于检测到所述数据项要被传输至所述芯片外存储器的所述仅加密存储器范围，所述MEE进一步用于加密与所述数据项相关联的数据。

5.如权利要求1所述的处理器，其特征在于，响应于检测到所述数据项要从所述芯片外存储器的所述仅加密存储器范围传输，所述MEE进一步用于解密与所述数据项相关联的数据。

6.如权利要求1所述的处理器，其特征在于，响应于检测到所述数据项要被传输至所述芯片外存储器的所述完全保护存储器范围，所述MEE进一步用于存储与所述数据项相关联的加密元数据。

7.如权利要求1所述的处理器，其特征在于，响应于检测到所述数据项要从所述芯片外存储器的所述完全保护存储器范围传输，所述MEE进一步用于检索与所述数据项相关联的加密元数据。

8.如权利要求1所述的处理器，其特征在于，所述数据由与所述处理器核相关联的指令集架构ISA指令保护，所述ISA指令保护所述数据免受软件攻击，并且与所述ISA指令相关联的存储器的范围存储在所述完全保护存储器范围中以保护所述数据免受主动和重放攻击。

9.一种用于支持可配置安全级别的方法，包括：

响应于检测到关于与芯片外存储器设备相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，使用处理设备基于存储在安全范围寄存器上的值来标识与所述存储器位置相关联的安全级别指示符，其中所述安全级别指示符标识所述芯片外存储器设备的仅加密存储器范围和完全保护存储器范围，并且其中所述完全保护存储器范围使用由存储器加密引擎MEE生成的加密元数据来提供对数据的加密、完整性和重放保护；以及

考虑到所述安全级别指示符而使用所述处理设备访问与所述芯片外存储器的所述存储器地址范围相关联的数据项的至少一部分。

10.如权利要求9所述的方法，其特征在于，所述安全级别指示符包括标识所述芯片外存储器设备的所述仅加密存储器范围和所述完全保护存储器范围中的至少一个的一个或多个存储器地址范围。

11.如权利要求9所述的方法，其特征在于，所述安全级别指示符包括将所述芯片外存储器分成所述仅加密存储器范围和所述完全保护存储器范围的存储器地址。

12.如权利要求9所述的方法，其特征在于，进一步包括响应于检测到所述数据项要被传输至所述芯片外存储器设备的所述仅加密存储器范围，加密与所述数据项相关联的数据。