[发明专利]用于共享安全性元数据存储器空间的方法和装置

说明书

当前公开的用于共享安全性元数据存储器空间的方法和装置提出了允许元数据共享两种不同的加密技术的技术。使用第一种类型的加密进行加密并且具有与其相关联的第一安全性元数据的存储器的区段被转换为使用第二种类型的加密进行加密并且具有与其相关联的第二安全性元数据的存储器的区段。对于存储器的相同区段，所述第一安全性元数据的至少一部分与所述第二安全性元数据的至少一部分共享存储器空间。

技术领域

本公开涉及允许在存储器加密引擎(MEE)与具有完整性的总存储器加密(TMEi)之间进行元数据共享的机制，用于为TMEi提供零存储开销完整性保护。

背景技术

对计算机系统中的存储器的保护至关重要。可以加密存储器以保护存储器数据的机密性、完整性和重放。可以使用不同类型的加密对存储器的区段进行加密。每种类型的加密包括其自己的相应安全性元数据。例如，存储器的区段(例如，存储器的页面)可以使用第一种类型的加密进行加密，并且具有与其相关联且存储在存储器中的第一安全性元数据。存储器的相同区段可以使用第二种类型的加密进行加密，具有与其相关联且存储在存储器中的第二种类型的安全性元数据。就安全性元数据而言提供这种存储器保护所要求的存储器的量导致保护机制占用大量存储器。

通过示例的方式，一种加密模式被称为具有完整性的总存储器加密(TMEi)，其目标是保护整个平台存储器的机密性和完整性。TMEi还用于防止软件数据损坏。为了使TMEi提供完整性保护，要求将安全性元数据存储在存储器中。

通过示例的方式，另一种加密模式被称为软件保护扩展(SGX)，并且使用存储器加密引擎(MEE)来保护存储器的固定区域。虽然可以使用其他类型的加密，但以下示例用于解释目的。在SGX和TMEi在平台上共存的情况下，假设没有优化来减少MEE的存储开销，当前平台将为安全性元数据保留大块的系统存储器，这是用于安全性的重大开销。

附图说明

所要求保护的主题的特征和优点根据与其一致的实施例的以下详细描述将变得显而易见，该描述应参考附图来考虑，其中：

图1示出了与本公开的若干实施例一致的用于共享安全性元数据存储器空间的当前公开的方法和装置的元数据开销的框图；

图2是用于共享安全性元数据存储器空间的方法的流程图；

图3是用于共享安全性元数据存储器空间的另一方法的流程图；

图4是与本公开的若干实施例一致的存储器布局的图；

图5是与本公开的若干实施例一致的受页面转换为EPC影响的存储器布局的图；以及

图6是根据本公开的各种实施例的受页面转换为非EPC影响的存储器布局的图。

图7是根据本公开的各种实施例的处理模块的框图。

图8示出了用于根据本公开的各种实施例的设备的示例配置。

虽然以下具体实施方式将对说明性实施例进行参考，但是其许多替换、修改和变化对于本领域技术人员将是显而易见的。

具体实施方式

本公开针对用于共享安全性元数据存储器空间的方法和/或装置。在一个实施例中，一种方法被配置为执行指令，该指令用于将已经使用第一种类型的加密进行加密并且具有与其相关联的第一安全性元数据的存储器的区段转换为使用第二种类型的加密进行加密并且具有与其相关联的第二种类型的安全性元数据的存储器的区段。该方法还被配置为，其中，对于存储器的相同页面第一安全性元数据的至少一部分与第二安全性元数据的至少一部分共享存储器空间。