[发明专利]存储器加密排除方法和设备

说明书

相关申请

本申请要求于2015年6月24日提交的标题为“MEMORY ENCRYPTION EXCLUSION METHOD AND APPARATUS(存储器加密排除方法和设备)”的美国专利申请14/749,301的优先权。

技术领域

本公开涉及计算领域。更具体而言，本公开涉及在存储器中提供一个或多个加密排除区域。

背景技术

本文中所提供的背景描述用于总地呈现本公开的上下文的目的。除非在本文中另有指示，本部分中描述的材料不是本申请中的权利要求的现有技术，并且不因为包含在本部分中而被承认为现有技术。

在提供计算平台(下文中被称为平台)方面的历史挑战之一包括固件更新的无缝实现以及将其他遥测信息传递回平台。传统上，供应商具有其自己的实用程序、自定义驱动程序和引导环境来编排其更新。统一可扩展固件接口(UEFI)技术的应急引入了对有效载荷及应用使用封装体(Capsule)或二进制团块(binary blob)来运载这些更新和/或提供遥测信息的能力。连同运行时应用编程接口(API)UpdateCapsule()服务一起，操作系统(OS)运行时能够在OS活动时编排更新或传递遥测信息(即，不需要重启进入定制环境中，等等)。微软公司的8将这种能力提供给了片上系统(SOC)平台。在 OS以及其他OS上的跟进被期待向附加的平台提供这种能力。有关封装体的进一步信息，请参阅可从公司获得的2013年9月第0.9版的“针对EFI的平台创新框架封装体说明书( Platform Innovation on Framework for EFI Capsule Specification)”。

然而，其他平台硬件保护技术正在与封装体机制竞争。具体而言，封装体更新API通常使用系统存储器作为封装体数据的运输工具，该封装体数据通过非存储器破坏性重启被传达到平台固件中。然而，像“总存储器加密”(TME)之类的新技术认为平台固件是敌对的，并且任何通过重启/重置返回到固件中的调用都可能被认为是一种其中OS机密可能会被泄露给可能已经被包括了的固件的攻击途径(attack vector)。作为结果，TME硬件实现通常通过重启/重置来争夺加密密钥以减轻这种担忧。

附图说明

通过下列具体实施方式结合附图，将容易理解实施例。为了便于该描述，相同的附图标记指示相同的结构元件。在附图中，通过示例而非限制地说明实施例。

图1例示了根据各个实施例的具有本公开的存储器加密排除技术的计算设备。

图2例示了根据各个实施例的用于在存储器中配置加密排除区域的各种示例存储器参数。

图3更详细地例示了根据各个实施例的使用基址和掩码的示例加密排除。

图4例示了根据各个实施例的用于在重置期间提供加密排除区域的示例过程。

图5例示了根据各个实施例的用于验证封装体的示例过程。

图6例示了根据各个实施例的适于使用以实施本公开的各方面的示例计算机系统。

图7例示了根据各个实施例的具有用于实施参考图4-5所述的方法的指令的存储介质。

详细描述

本文公开了与存储器加密排除相关联的设备、方法和存储介质。在各实施例中，一种设备可包括一个或多个处理器、存储器以及用来向操作系统提供基本输入/输出服务的固件。附加地，该设备可包括用来控制对存储器的访问的存储器控制器，其中该存储器控制器包括加密引擎，该加密引擎用来在数据被存储到存储器的经加密的区域之前使用加密密钥来加密数据，其中加密引擎在将执行从由一个或多个处理器操作的操作系统转移到固件的预引导阶段的重置之际重新生成加密密钥。此外，该设备可包括一个或多个存储位置，这些存储位置用来存储一个或多个存储器参数以留出存储器的一个或多个范围作为一个或多个加密已排除区域。

在各实施例中，固件的基本输入/输出服务可包括一个或多个加密排除服务，这些加密排除服务配置该一个或多个存储器参数来留出存储器的范围以提供存储器的加密已排除区域或者复原存储器先前留出的范围以不再将该区域排除在加密之外。