[发明专利]基于存储器的加密

说明书

本文的实施例描述了具有加密路径和旁路路径的存储器控制器。使用指示符(例如，专用地址范围)，外部实体可通知存储器控制器是使用加密路径还是旁路路径。例如，当执行写入请求时使用加密路径意味着存储器控制器在数据被存储之前对其进行加密，而使用旁路路径意味着数据被写入到存储器中而不加密。类似地，当执行读取请求时使用加密路径意味着控制器在数据被传送至请求实体之前对数据进行解密，而使用旁路路径意味着数据在没有被解密的情况下被传送。

技术领域

本发明涉及基于存储器的加密。

背景技术

加密是一种用于数据保护和软件安全的常用方法，但是基于软件的加密很慢并且需要该软件知道加密密钥。使密钥可由软件访问意味着密钥更易于由恶意行为者获得。虽然可替代地执行硬件加密(其中加密密钥不可由软件获得)，但基于硬件加速器的加密需要昂贵的系统调用来执行。

现代处理器具有用于对存储在短期存储器(例如，随机存取存储器(RAM))中的数据进行加密的内置加密引擎。这些处理器具有一个用户可配置设置：或者存储在存储器中的所有数据被加密，或者存储在存储器中的数据均未被加密。如果处理器被设置为加密所有数据，则每当数据从短期存储器移动到长期存储(例如，硬盘驱动器或固态驱动器)时，处理器首先在存储数据之前对数据进行解密。因此，数据仅在驻留在短期存储器中时被加密。为了对长期存储器中的数据进行加密，软件应用程序将需要生成另一请求。由此，执行硬件加密的优点受到限制。

发明内容

根据本发明的一个方面，一种处理器包括核和存储器控制器，该存储器控制器被配置成用于接收用于向存储器写入数据的第一写入请求。存储器控制器被配置成识别第一写入请求中的物理地址，其中物理地址指示数据应当存储在存储器中的何处，并且基于物理地址生成用于加密数据的第一加密密钥。

本文所描述的另方面是一种方法，该方法包括：接收将数据写入存储器的第一写入请求；识别该第一写入请求中的物理地址，其中该物理地址指示该数据应被存储在该存储器中的何处；以及基于该物理地址生成用于加密该数据的第一加密密钥。

本文所描述的另一方面是一种集成电路中的存储器控制器。所述存储器控制器包括硬件逻辑，所述硬件逻辑被配置成识别在所述存储器控制器处接收的第一写入请求中的物理地址，其中所述物理地址指示对应于所述第一写入请求的数据应在何处；以及

存储在存储器中并基于所述物理地址生成用于加密所述数据的第一加密密钥。所述存储器控制器还包括加密引擎，所述加密引擎被配置为使用所述第一加密密钥对所述数据进行加密。

附图说明

图1是根据本文描述的一个实施例的用于执行选择性硬件加密的计算系统的框图。

图2是根据本文描述的一个实施例的用于使用加密路径或旁路路径执行写入请求的流程图。

图3是根据本文描述的一个实施例的用于使用加密路径或旁路路径执行读取请求的流程图。

图4是根据本文描述的一个实施例的用于对先前由处理器加密的数据进行解密的流程图。

图5A示出了根据本文描述的一个实施例的当启用镜像时执行写请求以便对数据进行加密。

图5B示出了根据本文描述的一个实施例的当启用镜像时使用旁路路径执行读取请求以取回加密的数据。

图6A示出了根据本文描述的一个实施例的当启用镜像时使用旁路路径执行写入请求来存储加密的数据。

图6B示出了根据本文描述的一个实施例的当启用镜像时使用加密路径执行读取请求以对加密的数据进行解密。

具体实施方式