[发明专利]信任域架构与多密钥总存储器加密技术在服务器中的共存

权利要求书

1.一种处理器，其包括：

用以执行管理程序的处理器核，所述处理器核包括用以存储以下各项的硬件寄存器：

位范围，用以标识物理存储器地址中的定义了密钥标识符（ID）的地址位的第一数量；以及

密钥ID中的划分密钥ID，用以标识密钥ID的非受限密钥ID与受限密钥ID之间的边界；以及

其中所述处理器核用以：

分配所述非受限密钥ID中的至少一个以供所述管理程序使用；以及

将密钥ID的第一密钥ID分配给信任域基础设施的第一信任域，其中所述第一密钥ID是所述受限密钥ID之一；以及

耦合到所述处理器核的存储器控制器，用以将存储器的第一物理页面分配给所述第一信任域，其中所述存储器的第一物理页面的数据要利用与所述第一密钥ID相关联的加密密钥被加密。

2.根据权利要求1所述的处理器，其中所述位范围包括非受限位的第一位子范围和受限位的第二位子范围，其中对于所述非受限密钥ID，所述受限位中的每一个要具有第一二进制值，并且其中对于所述受限密钥ID，所述受限位中的至少一个要具有与所述第一二进制值不同的第二二进制值。

3.根据权利要求2所述的处理器，其中所述存储器控制器进一步用以：

检测涉及被分配给所述第一信任域的所述存储器的第一物理页面的存储器事务，其中所述存储器事务包括所述存储器的物理页面的物理存储器地址以及请求密钥ID；以及

响应于确定请求密钥ID的受限位中的至少一个具有第二二进制值而生成错误。

4.根据权利要求3所述的处理器，其中所述存储器事务是代码获取或使用页面遍历的存储器事务中的一个，并且其中所述错误是非受限密钥页面错误。

5.根据权利要求1至4中任一项所述的处理器，其中所述存储器控制器进一步用以：响应于检测到由所述第一信任域的信任计算基（TCB）外部的软件程序发起的并且涉及所述存储器的第一物理页面的存储器事务而生成错误。

6.根据权利要求1至4中任一项所述的处理器，其中所述处理器核进一步用以将第二密钥ID分配给第二信任域，其中所述第二密钥ID是所述受限密钥ID之一，并且其中所述存储器控制器进一步用以：

将所述存储器的第二物理页面分配给所述第二信任域，其中所述存储器的第二物理页面中的数据要利用与所述第二密钥ID相关联的加密密钥被加密；

在密钥所有权表（KOT）中存储所述第一密钥ID到所述第一信任域的分配和所述第二密钥ID到所述第二信任域的分配；以及

在存储器所有权表（MOT）中存储标识了所述存储器的第一物理页面到所述第一信任域的分配的第一信任域标识符和标识了所述存储器的第二物理页面到所述第二信任域的分配的第二信任域标识符。

7.根据权利要求6所述的处理器，其中所述存储器控制器进一步用以：

检测涉及所述存储器的第一物理页面的存储器事务，其中所述存储器事务包括所述存储器的第一物理页面的物理存储器地址以及所述第二密钥ID；

参考所述MOT，以确定所述第二密钥ID不是所述存储器的第一物理页面的正确属性；以及

生成错误。

8.根据权利要求6所述的处理器，其中所述存储器控制器进一步用以：

检测涉及所述存储器的第一物理页面的存储器事务，其中所述存储器事务源自于所述第二信任域，并且包括所述存储器的第一物理页面的存储器地址以及所述第一密钥ID；

参考所述KOT，以确定所述第一密钥ID没有被分配给所述第二信任域；以及

生成错误。