[发明专利]用于计数器模式存储器保护的间接目录

权利要求书

1.一种装置，包括：

处理器，其包括管芯上存储器；

存储器，其包括受到保护的区域；

存储器加密引擎(MEE)，其包括用于以下操作的电路：

接收针对在存储器的所述受到保护的区域中的特定页面中的数据的请求；

访问间接目录中的指针，其中，所述指针指向存储在存储器的所述受到保护的区域外部的特定元数据页面，并且所述特定元数据页面包括用于保护所述特定页面的数据的安全性元数据的第一部分；

从存储器的所述受到保护的区域访问与所述特定页面相关联的所述安全性元数据的第二部分；以及

基于所述安全性元数据的第一部分和所述安全性元数据的第二部分来确定所述特定页面的数据的真实性。

2.根据权利要求1所述的装置，其中，所述安全性元数据的第二部分包括与所述特定页面相关联的重放完整性树的层，并且所述数据的真实性是基于所述重放完整性树来确定的。

3.根据权利要求2所述的装置，其中，所述重放完整性树的根被存储在所述管芯上存储器中。

4.根据权利要求3所述的装置，其中，确定所述数据的真实性包括执行对所述重放完整性树的遍历，并且所述遍历至少部分地基于所述安全性元数据的第一部分。

5.根据权利要求1-4中任一项所述的装置，其中，所述安全性元数据的第一部分包括针对所述特定页面的数据的消息认证码(MAC)。

6.根据权利要求5所述的装置，其中，所述安全性元数据的第一部分还包括与所述特定页面相关联的版本种子，并且所述版本种子将被加密以用于生成所述特定页面的明文数据的密文版本。

7.根据权利要求6所述的装置，其中，所述密文版本是使用计数器模式加密生成的。

8.根据权利要求1-7中任一项所述的装置，其中，所述特定页面是存储器中的一组页面中的一个页面，并且所述特定元数据页面包括针对所述一组页面中的每个页面的安全性元数据。

9.根据权利要求8所述的装置，其中，针对所述一组页面中的每个页面的所述安全性元数据包括针对所述一组页面中的每个页面的相应MAC和版本种子。

10.根据权利要求1-9中任一项所述的装置，其中，所述间接目录被存储在系统软件不可访问的被盗取的存储器中。

11.根据权利要求1-10中任一项所述的装置，其中，所述特定元数据页面是在存储器中分配的多个元数据页面中的一个元数据页面，并且所述间接目录包括针对所述多个元数据页面中的每个元数据页面的指针。

12.根据权利要求1-11中任一项所述的装置，其中，所述间接目录包括针对存储器的每个页面的相应指针，以在对应的页面被指定为是受到保护的时指向相应的元数据页面。

13.根据权利要求1-12中任一项所述的装置，其中，所述MEE还用于基于所述安全性元数据的第一部分通过计数器模式加密对存储器的所述受到保护的区域中的数据进行解密和加密。

14.至少一种机器可访问存储介质，其上存储有指令，所述指令当在机器上执行时，使所述机器进行以下操作：

识别计算机存储器中的要被保护的特定页面；

分配计算机存储器中的元数据页面以存储用于保护所述特定页面的安全性元数据的第一部分，其中，所述安全性元数据的第二部分在所述计算机存储器的受保护部分中被预先分配；以及

在间接目录中的特定指针中输入所述元数据页面的地址，其中，所述间接目录在所述计算机存储器的受保护部分中被预先分配，并且所述特定指针被映射到所述特定页面的地址。