[发明专利]存储器加密排除方法和设备

权利要求书

1.一种用于计算的设备，包括：

一个或多个处理器，以及存储器；

固件,与所述一个或多个处理器和存储器耦合，所述固件用于向由所述一个或多个处理器操作的操作系统提供基本输入/输出服务；

与所述存储器耦合的存储器控制器，所述存储器控制器用于控制对所述存储器的访问，其中所述存储器控制器包括用于在数据被存储到所述存储器的经加密的区域之前使用加密密钥来加密所述数据的加密引擎，其中所述加密引擎在将执行从由所述一个或多个处理器操作的所述操作系统转移到所述固件的预引导阶段的重置之际重新生成所述加密密钥；以及

一个或多个存储位置，所述一个或多个存储位置用于存储一个或多个存储器参数以留出所述存储器的一个或多个范围作为一个或多个加密已排除区域。

2.根据权利要求1所述的设备，其特征在于，所述一个或多个存储位置包括第一存储位置和第二存储位置，所述第一存储位置用于存储所述一个或多个加密已排除区域中的第一加密已排除区域的基址，所述第二存储位置用于存储地址掩码以有效地定义所述第一加密已排除区域从所述基址扩展的范围。

3.根据权利要求1所述的设备，其特征在于，所述一个或多个存储位置包括所述存储器控制器的一个或多个寄存器。

4.根据权利要求1所述的设备，其特征在于，所述固件的基本输入/输出服务包括一个或多个加密排除服务，所述加密排除服务配置所述一个或多个存储器参数来留出所述存储器的一个或多个范围以提供所述存储器的一个或多个加密已排除区域或者复原所述存储器的一个或多个先前留出的范围以不再将所述一个或多个区域排除在加密之外。

5.根据权利要求4所述的设备，其特征在于，所述固件的基本输入/输出服务包括系统重置服务，其中所述系统重置服务包括所述一个或多个加密排除服务中的第一加密排除服务，其中所述第一加密排除服务用于在将执行从所述操作系统转移到所述固件的预引导阶段的重置的开始期间的调用之际设置所述一个或多个存储器参数以留出所述存储器的一个或多个范围作为所述一个或多个加密已排除区域。

6.根据权利要求5所述的设备，其特征在于，所述固件的基本输入/输出服务包括系统初始化服务；并且其中所述系统重置服务在留出所述存储器的一个或多个范围作为所述一个或多个加密已排除区域之际用于执行热启动以使所述设备进入引导阶段，并且调用所述系统初始化服务来初始化所述设备。

7.根据权利要求6所述的设备，其特征在于，所述系统初始化服务包括所述一个或多个加密排除服务中的第二加密排除服务；其中所述第二加密排除服务在所述初始化阶段结束时的调用之际用于重置所述一个或多个存储器参数来复原所述存储器的留出的一个或多个范围以不再将所述一个或多个区域排除在加密之外。

8.根据权利要求4-7中任一项所述的设备，其特征在于，所述固件的基本输入/输出服务包括系统初始化服务，其中所述系统初始化服务包括所述一个或多个加密排除服务中的第一加密排除服务，其中所述第一加密排除服务在所述设备的初始化期间的调用之际用于设置所述一个或多个存储器参数以留出所述存储器的一个或多个范围作为所述一个或多个加密已排除区域。

9.根据权利要求4-7中任一项所述的设备，其特征在于，所述固件的基本输入/输出服务包括系统重置服务，其中所述系统重置服务用于作为重置所述设备的一部分，将由所述操作系统创建的封装体从所述经加密的区域复制到所述一个或多个加密已排除区域中的一个或多个中。

10.根据权利要求9所述的设备，其特征在于，所述固件的基本输入/输出服务还包括系统初始化服务；并且其中所述系统初始化服务用于在所述设备的预引导阶段期间处理所述封装体。

11.一种用于计算的方法，包括：

由计算设备的存储器控制器控制对所述计算设备的存储器的访问，其中控制包括在数据被存储到所述存储器的经加密的区域之前使用加密密钥对所述数据进行加密，以及在将执行从正由所述计算设备的一个或多个处理器操作的操作系统转移到所述计算设备的固件的预引导阶段的重置之际重新生成所述加密密钥；以及

通过所述固件的基本输入/输出服务来配置一个或多个存储器参数以留出所述存储器的一个或多个范围作为所述存储器的一个或多个加密已排除区域。