[发明专利]用于非易失性存储器模块的热启动攻击缓解

说明书

本文公开的技术提供了针对存储器模块上的热启动攻击的缓解措施。例如，在一个实施例中，主机计算系统中的非易失性双列直插式存储器模块(NVDIMM)可以检测从低功率状态到全功率状态的转变；在转变之后，从主机计算系统的处理器接收nonce值；验证nonce值；以及基于成功验证nonce值，允许对存储在NVDIMM上的数据的访问。在另一实施例中，可以响应于检测到主机计算系统中的从全功率状态到低功率状态的转变而锁定NVDIMM。在从低功率状态到全功率状态的转变之后，NVDIMM可以获得一个或多个密语，验证一个或多个密语，并基于成功验证一个或多个密语，允许对存储在NVDIMM上的数据的访问。

技术领域

本公开总体涉及计算机系统领域，并且更具体地，涉及用于对非易失性存储器模块的热启动攻击的缓解。

背景技术

当在低功率系统状态期间(例如，S3或“睡眠”系统功率状态)，存储器模块(例如，双列直插式存储器模块(DIMM)或非易失性DIMM(NVDIMM))处于自刷新状态时，可能会发生“热启动”攻击。如JEDEC规范所定义的，在自刷新状态期间，不发生到/自存储器的事务，并且保留存储器内容。热启动攻击依赖于攻击者独立于主机计算系统而向存储器模块提供外部电源，使得攻击者在物理上将存储器模块与受害主机计算系统断开连接的同时，他/她可以将存储器模块保持在“自刷新”状态。通过这样做，攻击者能够在所有存储器内容原封不动的情况下，从受害系统中窃取存储器模块，将它连接到攻击者的系统(与受害系统不同)，读取数据和/或破坏数据。此外，攻击者可以将具有已破坏/恶意的数据的存储器模块插回到受害主机计算系统，使受害系统在不检测的情况下使用它。

附图说明

为了提供对本公开及其特征和优点的更完整的理解，结合附图参考以下描述，其中，相同的附图标记表示相同的部分，其中：

图1是示出根据本公开的至少一个实施例的对存储器模块的示例性热启动攻击的简化框图；

图2是示出根据至少一个实施例的主机计算系统中的示例非易失性双列直插式存储器模块(NVDIMM)的简化框图；

图3是示出根据至少一个实施例的在CPU与NVDIMM之间的用于防止热启动攻击的示例握手过程的简化流程图；

图4是示出根据至少一个实施例的，响应于从全功率系统状态到低功率系统状态的转变而锁定NVDIMM以防止热启动攻击的示例过程的简化流程图；

图5A-5B是示出根据至少一个实施例的分别锁定非易失性存储器模块的永久性存储器(PM)区域和第二级存储器(2LM)区域的示例过程的简化流程图；

图6是示出根据至少一个实施例的示例处理器核和存储器的框图；和

图7是根据至少一个实施例的示例计算机架构的框图。

具体实施方式

以下公开提供了用于减轻对存储器模块的热启动攻击的各种可能的实施例或示例。“热启动”攻击可以使攻击者物理访问通电的受害计算系统，但在没有特权(例如，环3、环0或环-1)的情况下，获得对存储器模块的整个存储器内容的访问。这种攻击与传统的“冷启动”攻击之间的区别在于，攻击者可以获取100％的数据，而没有数据丢失。此外，热启动攻击可以适用于所有DDR存储器模块，而与制造商无关，可以与存储器模块的温度无关，并且可以与时间无关。