[发明专利]支持用于存储器地址范围的可配置安全级别

说明书

公开了实现用于为存储器地址范围支持可配置安全级别的技术的处理器。在一个实施例中，处理器包括：处理核；存储器控制器，可操作地耦合至处理核，用于访问芯片外存储器中的数据；以及存储器加密引擎(MEE)，可操作地耦合至存储器控制器。MEE用于：响应于检测到关于与芯片外存储器相关联的存储器地址范围内的存储器地址标识的存储器位置的存储器访问操作，基于存储在安全范围寄存器上的值来标识与存储器位置相关联的安全级别指示符。MEE进一步用于：考虑到安全级别指示符而访问与芯片外存储器的存储器地址范围相关联的数据项的至少一部分。

技术领域

本公开的实施例一般涉及计算机系统，并且更具体地涉及但不限于支持用于存储器地址范围的可配置安全级别。

背景

确保计算机系统内的应用和数据的执行和完整性的安全越来越重要。各种已知的安全技术不能以灵活但可靠的方式充分确保应用和数据的安全。

附图说明

通过下文给出的具体实施方式并通过本公开各种实施例的附图，将更完整地理解本公开。然而，不应当认为这些附图将本公开限制为特定实施例，而是这些附图仅用于说明和理解。

图1示出根据一个实施例的处理设备的框图。

图2示出根据一个实施例的包括用于支持用于存储器地址范围的可配置安全级别的存储器的系统。

图3示意性地示出根据本公开的一个或多个方面的为存储用于实现完整性和重放保护的加密元数据所采用的示例数据结构。

图4示出根据一个实施例的用于支持用于存储器地址范围的可配置安全级别的方法的流程图。

图5A是示出根据一个实施例的处理器的微架构的框图。

图5B是示出根据一个实施例的有序流水线以及寄存器重命名级、乱序发布/执行流水线的框图。

图6是示出根据一种实现方式的计算机系统的框图。

图7是示出系统的框图，在该系统中可以使用本公开的实施例。

图8是示出系统的框图，在该系统中可以使用本公开的实施例。

图9是示出系统的框图，在该系统中可以使用本公开的实施例。

图10是示出芯片上系统(SoC)的框图，在该芯片上系统中可以使用本公开的实施例。

图11是示出SoC设计的框图，在该SoC设计中可以使用本公开的实施例。

图12示出了示出计算机系统的框图，在该计算机系统中可以使用本公开的实施例。

具体实施方式

描述了用于支持用于存储器地址范围的可配置安全级别的技术。在一个实施例中，提供了一种处理器。该处理器可以包括配置为实现软件防护扩展技术以提供存储器保护的处理逻辑。“存储器保护”通常可以包括通过加密、完整性和/或重放保护来保护数据的机密性。完整性保护可以抵抗攻击，其中例如，攻击者可以在解密之前修改存储器中的经加密的数据。重放保护可以阻止攻击，其中例如，攻击者使得解密操作重复以获得对受保护的数据的未经授权的访问。

使用提供安全的硬件加密的计算和存储环境(例如，安全飞地)的某些处理器指令。本文中的“安全飞地”将指应用的地址空间内的使应用能保持秘密并且保护其代码的完整性的受保护的区域。对来自未驻留在飞地中的应用的与安全飞地相关联的数据的访问被阻止，即使这种访问是由有特权的应用(诸如BIOS、操作系统或虚拟机监视器)尝试的。此外，安全飞地的数据内容不能通过有特权的代码或者甚至不能通过向存储器总线应用硬件探头来解密。