[发明专利]利用用于指示数据类型的隐藏内联元数据的存储器保护

说明书

本申请公开了利用用于指示数据类型的隐藏内联元数据的存储器保护。实施例涉及利用用于指示数据类型和能力的隐藏内联元数据的存储器保护。处理器的实施例包括处理器核和高速缓存存储器。处理器核用于将隐藏内联元数据植入高速缓存存储器的一个或多个高速缓存行，隐藏内联元数据在线性地址级别隐藏，对于软件隐藏，隐藏内联元数据用于指示存储在同一高速缓存行上的相关联数据的数据类型或能力。

技术领域

本文中描述的实施例总体上涉及电子设备的领域，并且更具体地涉及利用隐藏内联元数据的存储器保护。

技术背景

“幽灵(Spectre)”引发系统推测性地执行在正确的程序执行期间不会发生并且泄漏私有的、机密的和/或秘密的信息的操作。“灾难(Meltdown)”破坏地址空间隔离中固有的所有假设并且利用乱序执行来读取可能包括私有的、机密的和/或秘密的信息的任意内核存储器位置。幽灵和灾难两者均通过侧信道将非法获得的私有的、机密的和/或秘密的信息传递给攻击者。用于基于推测性执行的脆弱性(诸如幽灵和灾难)的操作系统(OS)和中央处理单元(CPU)微代码基于补丁的缓解可以通过以下方式来改善：通过利用元数据来标记程序数据而使CPU知晓程序的意图，使得硬件可以在充分知晓数据的边界、类型、当前分派等的情况下对数据进行操作。

现有的和潜在的硬件和软件架构显示附加的安全脆弱性。例如，一些架构可能易于受到被覆写的存储器指针的攻击。作为另一示例，一些架构可能易于受到存储器指针操纵(增加值)的攻击，存储器指针操纵使指针在空间上或者在时间上落在错误的(未经授权的)数据对象上。作为另一示例，一些架构可能在它们提供保护的粒度方面受限制。需要的是通过允许硬件知晓软件的意图来解决这些安全脆弱性的技术方案。

附图说明

本文所描述的各实施例作为示例而非限制在所附附图的各图中示出，在附图中，同样的附图标记指代类似的要素。

图1是根据本文中描述的至少一个实施例的将元数据插入高速缓存行的示图；

图2是根据本文中描述的至少一个实施例的将元数据插入高速缓存行的示图；

图3A是用于图示根据本文中描述的至少一个实施例的用于利用隐藏内联元数据来处置数据的过程的流程图；

图3B是根据本文中描述的至少一个实施例的用于在页表条目中包括隐藏内联元数据位的装置或系统的存储器分页结构的示图；

图3C是根据本文中描述的至少一个实施例的用于包括隐藏内联元数据的装置或系统的存储器中的页上溢的示图；

图3D是根据本文中描述的至少一个实施例的包括隐藏内联元数据的装置或系统中的端到端地址变换的示图；

图4是根据本文中描述的至少一个实施例的通过为中央处理单元(CPU)内的存储器提供基于地址的安全特征来降低CPU内的成功侧信道攻击的可能性的系统的框图；

图5图示根据本文中描述的至少一个实施例的可以用于保护存储器地址指针免受攻击的存储器标签的实现方式的存储器地址变换图；

图6A图示根据本文中描述的至少一个实施例的用于高速缓存行的不同标签元数据配置的框图；

图6B图示虚拟存储器地址的框图，其图示标识标签可以被存储在虚拟存储器地址内的各种位置中；

图7是根据本文中描述的至少一个实施例的用于使用各种存储器标签来保护存储器免受侧信道攻击的系统的框图；

图8是根据本文中描述的至少一个实施例的用于使用存储器加标签来为不受信任软件提供隔离的环境(“沙盒”)的过程的流程图；

图9A是图示根据本发明的实施例的示例性有序流水线和示例性的寄存器重命名的乱序发布/执行流水线两者的框图；