[发明专利]存储器中攻击预防

权利要求书

1.一种用于通过计算设备执行以用于存储器中攻击预防的方法，所述方法包括：

响应于第一引导命令而获得基于随机化过程所生成的第一加密密钥；

确定页面表的第一信息是否指示存储器页面意图是安全的，所述页面表存储在存储器页面的虚拟地址和存储器页面的物理地址之间的映射；

响应于确定了第一信息指示了存储器页面意图是安全的，确定页面表的第二信息是否指示存储器页面被加密；以及

响应于确定了第二信息指示了存储器页面没有被加密，使用第一加密密钥来对物理存储器中的存储器页面进行加密;

响应于确定第一信息指示了物理存储器页面意图仍然是不安全的，对处理器进行处理以访问和/或执行存储器页面中的一组代码而不对存储器页面进行加密。

2.根据权利要求1所述的方法，还包括：

响应于对物理存储器中的存储器页面进行加密，使得第二信息被更新以指示存储器页面被加密。

3.根据权利要求1所述的方法，其中代码集在遵循第一引导命令的第一引导会话期间被加载到存储器页面的至少一部分中，此外包括：

响应于确定了第二信息指示了存储器页面没有被加密，阻止处理器访问代码集直到存储器页面通过使用第一加密密钥被加密为止。

4.根据权利要求1所述的方法，还包括：

响应于第二引导命令而获得基于随机化过程所生成的第二加密密钥，其中代码集在遵循第二引导命令的第二引导会话期间被加载到存储器页面的至少一部分中；以及

响应于确定了第二信息指示了存储器页面没有被加密，阻止处理器访问代码集直到存储器页面通过使用第二加密密钥被加密为止。

5.根据权利要求1所述的方法，其中所述物理存储器是高速缓存存储器和主存储器中的至少一个。

6.根据权利要求1所述的方法，其中所述页面表的至少一部分被高速缓存在耦合到存储器管理单元（MMU）的转换后备缓冲器（TLB）中。

7.一种包括通过计算设备的处理器可执行以用于存储器中攻击预防的指令的非暂时性机器可读存储介质，所述机器可读存储介质包括：

在第一引导会话期间接收以下指示：代码集被加载到物理存储器页面的至少一部分中；

在页面表中标识与物理存储器页面对应的页面条目，其中所述页面条目将虚拟存储器页面映射到物理存储器页面；

确定与页面条目相关联的安全性字段是否指示了存储器页面意图仍然是不安全的，对处理器进行处理以访问和/或执行存储器页面中的一组代码而不对存储器页面进行加密；以及

确定与页面条目相关联的加密字段是否指示了物理存储器页面被加密，其中响应于确定了所述加密字段指示了物理存储器页面没有被加密，阻止处理器访问代码集直到物理存储器页面通过使用对于第一引导会话而言是唯一的第一加密密钥被加密为止。

8.根据权利要求7所述的非暂时性机器可读存储介质，其中第二加密密钥不同于第一加密密钥并且对第二引导会话而言是唯一的。

9.根据权利要求8所述的非暂时性机器可读存储介质，还包括：

在第二引导会话期间接收代码集被加载到物理存储器页面的至少一部分中的指示，其中，响应于确定了所述加密字段指示了物理存储器页面没有被加密，阻止处理器访问代码集直到物理存储器页面通过使用对于第二引导会话而言是唯一的第二加密密钥被加密为止。

10.根据权利要求7所述的非暂时性机器可读存储介质，还包括：

确定与页面条目相关联的安全性字段是否指示物理存储器页面意图是安全的；

响应于确定了所述安全性字段指示了物理存储器页面意图是安全的，确定加密字段是否指示物理存储器页面被加密；以及

响应于确定了所述加密字段指示了物理存储器页面没有被加密，使得物理存储器页面通过使用对第一引导会话而言是唯一的第一加密密钥而被加密。