[发明专利]用于使用压缩加密进行的存储器重放防止的技术

说明书

公开了用于使用压缩加密进行存储器重放防止的技术。提供了用于存储器隔离的系统和方法。方法包括：接收将数据行写入物理存储器地址的请求，其中所述物理存储器地址包括密钥标识符；基于物理存储器地址的密钥标识符从密钥表中选择加密密钥；确定数据行是否可压缩；响应于确定所述数据行是可压缩的而压缩所述数据行以生成经压缩的行，其中所述经压缩的行包括压缩元数据和经压缩的数据；将加密元数据添加到所述经压缩的行，其中所述加密元数据指示所述加密密钥；响应于添加所述加密元数据而使用所述加密密钥对所述经压缩的行的部分进行加密以生成经加密的行；以及将所述经加密的行在所述物理存储器地址处写入存储器设备。描述了并要求保护其他实施例。

背景技术

多个虚拟机可以在公共云系统内的共享环境中操作。在此类共享环境中，应当保护由一个或多个虚拟机(VM)更新的(例如，以虚拟存储器的形式的)数据免受无特权的外部用户的影响。另外，应当保护这种存储器免受内部或特权用户的影响。在同一环境中针对另一台VM防护一个VM的常用技术是通过以密码方式使VM彼此隔离以及与任何主机虚拟机管理器(VMM)隔离来应用VM隔离技术。加密所有VM的存储器的存储器加密技术可以扩展为提供加密密钥供由VM访问存储器。尽管有存储器加密，但是如果特权实体(例如，VMM或云环境中的另一个VM)具有对加密的存储器的访问权，则该特权实体可以修改并重放VM的存储器。某些附加技术可以使用存储在诸如表的分开的位置中的附加数据变量(例如，版本号或完整性值)，其中数据变量被校验以认证尝试读取存储器的VM，从而控制对存储器的访问。

附图说明

在附图中，以示例方式而不是以限制方式图示出本文中描述的概念。为说明简单和清楚起见，附图中所示出的元件不一定是按比例绘制的。在认为适当的情况下，已在多个附图之间重复了附图标记以指示对应的或类似的元件。

图1是用于使用压缩加密进行的存储器重放防止的计算设备的至少一个实施例的简化框图；

图2是可以由图1的计算设备建立的环境的至少一个实施例的简化框图；

图3A和图3B是用于使用压缩加密进行的存储器重放防止的方法的至少一个实施例的简化流程图，该方法可由图1和图2的计算设备执行以向存储器写入数据行；

图4是图示可由图1和图2的计算设备生成的各种存储器状态的示意图；

图5A和图5B是用于使用压缩加密进行的存储器重放防止的方法的至少一个实施例的简化流程图，该方法可由图1和图2的计算设备执行以从存储器读取数据行；

图6A和图6B是用于使用压缩加密进行的存储器重放防止的方法的至少一个实施例的简化流程图，该方法可由图1和图2的计算设备执行以向存储器写入数据行；

图7是图示可由图1和图2的计算设备生成的各种存储器状态的示意图；以及

图8A和图8B是用于使用压缩加密进行的存储器重放防止的方法的至少一个实施例的简化流程图，该方法可由图1和图2的计算设备执行以从存储器读取数据行。

具体实施方式

尽管本公开的概念易于具有各种修改和替代形式，但是，在附图中已作为示例示出并将在本文中详细描述本公开的特定实施例。然而，应当理解，没有将本公开的概念限制于所公开的特定形式的意图，而相反，意图旨在涵盖符合本公开和所附权利要求书的所有修改、等效方案和替代方案。