[发明专利]基于安全内存加密技术的加密系统和加密方法

说明书

本发明提供基于安全内存加密技术的加密系统和方法。加密系统包括：处理单元，用于对各个功能单元进行统筹控制；IO单元，用于不同处理单元之间的数据传输；内存单元，用于存储数据；以及加解密单元，用于对进出内存单元的数据进行加密或解密，加密系统与数据地址相关联地设置用于处理单元的处理单元加密标识和用于IO单元的IO单元加密标识，并且处理单元加密标识和IO单元加密标识为相反逻辑值，加解密单元在处理单元对内存单元读写数据时，基于处理单元加密标识进行加密或解密处理；在IO单元对内存单元读写数据时，基于IO单元加密标识进行加密或解密处理。根据本发明，在不增加单独的硬件模块的情况下，使用现有SME架构实现IO之间内存数据的安全传输。

技术领域

本发明涉及本发明涉及数据加密技术，具体涉及基于安全内存加密技术的加密系统和加密方法。

背景技术

计算机系统的复杂性越来越高，云计算和大数据等新兴技术的应用也日益发展，在许多处理应用环境下，会涉及到实体机之间传输数据、虚拟机(VM)之间传输数据、实体机与虚拟机之间传输数据、CPU的内核与内核之间传输数据(统称为处理器之间传输数据)，而且，在许多情况下，处理器与处理器之间并非直接传输数据，而是需要通过接口(IO)来实现传输数据。

如上所述，随着技术的进步，计算机处理中产生了大量的数据，为了避免数据存取过程中可能发生的未经授权的存取、破坏、篡改，需要在数据存取时支持数据的加密机制。对此，例如在现有技术中，已经推出了SME(Secure Memory Encryption：安全内存加密)技术，其能够实现内存数据加密管理。安全内存加密SME提供的是一个更安全的内存加密机制，以便于在内存内存取数据时得先经过授权才可以存取，可以使用在系统内存的加密，也可以用在VM或容器环境的系统中，另外也可以支持使用在网络、储存、绘图芯片卡这类的硬件装置上。

基于图1说明现有技术中在数据传输时的SME工作方式。图1示出了SME的功能框图。处理器借助软件通过在进程的页表(page table)中设置c-bit标志(CPUID中标识c-bit的位置)，或者使用物理地址的某一bit(例如48位物理地址的bit47)表示该地址是否是内存加密的。

如图1中的下部的框图所示，当写内存时，仲裁器选择当前发送IO写内存请求还是CPU写内存请求到内存，并发送页表中的用于标记加密状态的一位即CPU页表c-bit或IO页表c-bit到选择器。同时，在写内存的模式下，加解密模块选择加密模式，对明文的待写入数据进行加密而形成密文数据，如果当前请求CPU页表c-bit和IO页表c-bit＝1，那么密文数据通过选择器写入到内存，如果当前请求CPU页表c-bit和IO页表c-bit＝0，那么明文数据通过选择器写入内存。

如图1中的上部的框图所示，当读内存时，发送读请求，第一仲裁器选择发送IO读内存请求还是CPU读内存请求到内存，并发送页表中的用于标记加密状态的一位即CPU页表c-bit或IO页表c-bit到选择器。同时，在读内存的模式下，加解密模块选择解密模式，对读出DDR的数据进行解密。如果当前请求CPU页表c-bit和IO页表c-bit＝1，那么选择器输出由加解密模块解密后的明文的数据到第二仲裁器，如果当前请求CPU页表c-bit和IO页表c-bit＝0，那么选择器直接输出内存数据到第二仲裁器。第二仲裁器根据发送的是IO读内存请求还是CPU读内存请求，选择将接收到的数据发送到IO还是CPU。

如上所述，SME方式在将数据写入内存时自动加密，在将数据从内存读出时自动解密，用来对内存中的部分数据进行加密保护以防止对内存的物理攻击。