[发明专利]信任域架构与多密钥总存储器加密技术在服务器中的共存

说明书

所描述的实现方式为受限和非受限加密密钥在计算系统上的共存提供了硬件支持。这种硬件支持可以包括：具有核的处理器；硬件寄存器，用以存储位范围，该位范围用以标识物理存储器地址中的定义了密钥标识符（ID）和划分密钥ID的位的数量，该划分密钥ID标识了非受限密钥ID与受限密钥ID之间的边界。核可以将非受限密钥ID中的至少一个分配给软件程序，诸如管理程序。核可以进一步将受限密钥ID分配给其信任计算基不包括该软件程序的信任域。耦合到核的存储器控制器可以将存储器的物理页面分配给信任域，其中存储器的物理页面的数据要利用与受限密钥ID相关联的加密密钥被加密。

技术领域

本公开涉及计算机系统；更具体地说，涉及确保信任域架构与多密钥总存储器加密技术在服务器中的共存。

背景技术

现代处理设备采用磁盘加密来保护静态数据。然而，存储器中的数据采用明文（plaintext）形式，并且容易受到攻击。攻击者可以使用各种各样的技术，包括基于软件和硬件的总线扫描、存储器扫描、硬件探测等等，以从存储器中检索数据。来自存储器的此数据可以包括敏感数据，例如隐私敏感数据、IP敏感数据、以及还有用于文件加密或通信的密钥。随着利用云服务提供商提供的基于虚拟化的托管服务将数据和企业工作负荷移动到云中的当前趋势，数据的暴露被进一步加剧。

附图说明

图1A是图示了根据一个实现方式的示例计算系统的框图，该示例计算系统使得能够实现信任域（TD）架构与多密钥总存储器加密（MK-TME）技术在虚拟系统中的共存。

图1B是图示了根据一个实现方式的使得能够实现TD架构与MK-TME技术的共存的计算系统的处理器的示例处理器核的框图。

图1C是图示了根据另一实现方式的示例计算系统的框图，该示例计算系统使得能够实现TD架构与MK-TME技术在不具有虚拟化的计算系统中的共存。

图2A是图示了根据一个实现方式的将加密密钥标识符（ID）空间划分成TD和MK-TME密钥ID的图。

图2B是图示了根据一个实现方式的使用连结到物理存储器地址的M个位的地址空间将加密密钥ID编码并且划分成TDX和MK-TME密钥ID的图。

图2C是根据一个实现方式的微架构密钥加密表的图示，该表由密钥ID索引并且存储密钥ID与加密密钥的关联。

图2D是根据一个实现方式的微架构密钥所有权（ownership）表的图示，该表由密钥ID索引并且存储密钥ID至各种信任域的分配。

图2E是根据一个实现方式的微架构存储器所有权表的图示，该表存储针对存储器的物理页面的元数据属性。

图3是根据一个实现方式的表示存储器加密引擎的一部分的门架构的框图。

图4A是图示了根据实现方式的访客虚拟地址到访客物理地址以及访客物理地址到主机物理地址的转换（translation）的框图。

图4B是图示了根据实现方式的扩展页面表（EPT）的使用以将访客物理地址转换成主机物理地址的框图。

图4C是根据一个实现方式的存储器地址选择硬件的框图，该存储器地址选择硬件用于在启用了TD和MK-TME架构两者时使用扩展页面表将访客物理地址映射到主机物理地址。

图5是根据一个实现方式的用以使得能够实现TD架构和MK-TME技术的共存的示例方法的流程图。

图6是根据一个实现方式的用以使得能够实现TD和MK-TME技术的共存从而进一步使得能够实现存储器分页的示例方法的流程图。

图7A是图示了用于可以在其中使用本公开的一个实现方式的处理器的微架构的框图。