[发明专利]用于页面粒度、软件控制的多密钥存储器加密的系统、装置和方法

权利要求书

1.一种用于对存储器加密的装置，包括：

密码电路，其用于对数据加密和解密，所述密码电路用于响应于来自第一代理的具有存储器地址的读取请求而从存储器接收包括至少加密部分的数据行，从所述数据行获得用于所述第一代理的密钥的密钥标识符，使用所述密钥标识符来获得所述密钥，使用所述密钥来对所述数据行的至少加密部分解密，并且将所述数据行的至少加密部分的解密数据发送到处理器的高速缓存层次结构以用于由所述第一代理存取，其中，所述存储器是用多个密钥加密的，所述密钥是所述多个密钥中的一个。

2.如权利要求1所述的装置，其中，所述密码电路用于当所述数据行未被压缩时，至少部分地基于所述存储器地址来对页面到密钥(P2K)表存取，以从所述P2K表的条目获得所述密钥标识符，所述P2K表包括多个条目，所述多个条目中的每个条目将存储器页面映射到密钥标识符。

3.如权利要求2所述的装置，其中，所述密码电路用于使用所述密钥标识符来对密钥表存取以获得所述密钥，所述密钥表包括多个条目，所述多个条目中的每个条目将密钥标识符映射到密钥，其中，每个密钥与虚拟机相关联。

4.如权利要求3所述的装置，其中，所述虚拟机用于生成所述密钥并且提供用于插入到所述P2K表中的条目，所述条目的至少一部分用所述密钥加密。

5.如权利要求4所述的装置，还包括所述处理器的存储器执行电路，所述存储器执行电路用于从所述虚拟机接收所述条目并且将所述条目插入到所述P2K表中。

6.如权利要求5所述的装置，其中，所述存储器执行电路用于响应于来自所述虚拟机的具有第二存储器地址的第二读取请求，从所述P2K表获得所述条目，用所述密钥对所述条目的所述至少一部分解密，并且将所述条目的解密部分中的存储的存储器地址与所述第二存储器地址进行比较以验证所述条目的完整性，并且如果所述存储的存储器地址与所述第二存储器地址不匹配则以信号形式发送错误。

7.如权利要求1所述的装置，其中，所述装置包括多租户计算环境，多个虚拟机在所述多租户计算环境上执行，所述多个虚拟机中的至少一些与所述多租户计算环境的不同客户相关联。

8.如权利要求1所述的装置，还包括：压缩电路，其用于基于存储在所述数据行中的压缩元数据来对所述数据行的至少一部分解压缩。

9.如权利要求8所述的装置，其中，所述装置包括：

处理器，包括：

多个核；

高速缓冲存储器层次结构；

存储器执行电路；以及

耦合到所述存储器的存储器控制器，其中，所述存储器执行电路包括所述密码电路，并且所述压缩电路与所述高速缓冲存储器层次结构相关联，并且将所述数据行的所述解压缩部分发送到所述高速缓冲存储器层次结构。

10.一种用于对存储器加密的方法，包括：

由虚拟机生成针对由多租户计算环境的管理器分配给所述虚拟机的存储器的页面的密钥，所述多租户计算环境包括至少一个处理器和所述存储器；

由所述虚拟机生成存储在所述存储器中的页面到密钥(P2K)表的条目，所述条目包括用于所述密钥的密钥标识符和所述存储器的页面的地址；以及

由所述虚拟机至少对所述存储器的页面的地址加密，并且将包括所述密钥标识符和加密的所述存储器的页面的地址的条目发送到所述管理器，以使所述管理器将所述条目存储在所述P2K表中，其中，所述密钥由所述至少一个处理器的存储器执行电路使用，以对要由所述虚拟机存储在所述存储器的页面中的数据加密和解密。

11.如权利要求10所述的方法，还包括：防止除所述虚拟机之外的实体对存储在所述存储器的页面中的加密数据的存取。