[发明专利]用于页面粒度、软件控制的多密钥存储器加密的系统、装置和方法

说明书

在一个实施例中，密码电路适于响应于来自第一代理的具有存储器地址的读取请求而从存储器接收至少包括来自加密部分的数据行，从数据行获得用于第一代理的密钥的密钥标识符，使用密钥标识符获得密钥，使用密钥对数据行的至少加密部分解密，并将数据行的至少加密部分的解密数据发送到第一代理。描述并要求保护其他实施例。

技术领域

实施例涉及多租户计算环境中的存储器加密。

背景技术

在多密钥存储器加密中，系统存储器用一个以上的密钥加密以保护信息并向寻求对存储器存取的不同实体提供隔离。目前，多密钥技术具有可缩放性问题，因为识别用于存储器的给定部分的适当密钥存在复杂性。为此，密钥选择器/标识符用于标识相关密钥。用于传递密钥标识符的一种机制是利用未使用的物理地址位(未使用，因为并非所有系统存储器都被填充)。这种方法具有固有的可缩放性问题，因为它窃取了本来可用于寻址存储器的存储器地址空间。添加额外的地址位或其他元数据会消耗额外的管芯面积，从而增加成本并降低性能。随着更传统的企业工作负载转移到云计算环境，数据保护/加密正成为从云服务提供商(CSP)到硬件和系统供应商的基本要求。但是，支持CSP的每个租户的密钥以帮助实现不同CSP客户之间的密码隔离会带来高成本的复杂性并限制可缩放性。

附图说明

图1是根据本发明的实施例的多租户计算环境的框图。

图2是根据本发明的实施例的存储器的框图。

图3是根据实施例的数据行的加密/压缩的表示。

图4是可以根据实施例使用的压缩数据格式的示例。

图5是根据本发明的实施例的方法的流程图。

图6是根据本发明另一实施例的方法的流程图。

图7是根据各种实施例的多租户计算环境的一部分的框图。

图8是根据本发明的实施例的云服务环境的框图。

图9是可用于实现本发明的实施例的装置的框图。

具体实施方式

在各种实施例中，使用技术来以高速缓存和资源有效的方式高效地将用于对存储在存储器中的数据加密/解密的密钥分配给存储器页面。更具体地，实施例可以使用页面到密钥标识符查找表和加密压缩技术的组合来在被存取的数据内嵌入密钥标识符。以这种方式，密钥查找技术与使用物理存储器地址位直接识别密钥一样高效地发生，而没有使用直接识别技术而减少可寻址地址空间的有害影响。此外，实施例使得存储器存取控制能够由软件执行，极大地简化了用于诸如虚拟机(VM)隔离、存储和云安全之类的用途的处理器架构。

执行针对密钥和/或密钥标识符(KeyID)的表查找可能有性能问题，因为每个给定的存储器请求可能发生两次存储器存取(一次用于获得数据行而另一次用于获得密钥/KeyID映射信息)。在实施例中，压缩使得KeyID能够直接嵌入存储器中的数据行中。大多数数据行(例如，超过95％的高速缓存行)对于小密钥标识符可以是足够可压缩的。此压缩在与密钥/KeyID高速缓存相结合时，转换为超过98％的高速缓存行不执行用于获得密钥映射信息的任何额外的存储器读取。