[发明专利]使用消息认证码和无效跟踪的安全地址转换服务

说明书

实施例旨在提供安全地址转换服务。系统实施例包括：存储器，其用于存储数据；输入/输出存储器管理单元（IOMMU），其经由主机到设备链路耦合到存储器，所述IOMMU执行包括以下的操作：经由主机到设备链路从远程设备接收存储器访问请求，其中，存储器访问请求包括主机物理地址（HPA）和第一消息认证码（MAC），主机物理地址标识与存储器访问请求有关的存储器内的物理地址；使用与存储器访问请求一起接收到的主机物理地址和与远程设备相关联的私钥来生成第二消息认证码（MAC）；以及执行以下中的至少一项：当第一MAC和第二MAC匹配并且该HPA不在由IOMMU维护的无效跟踪表格（ITT）中时，允许存储器访问继续进行；或者，当第一MAC和第二MAC不匹配时阻止存储器操作。

技术领域

本文描述的实施例总体上涉及存储器地址转换和存储器保护的领域，并且更特别地涉及基于请求设备的上下文来提供安全地址转换服务的转换代理（例如，输入/输出存储器管理单元（IOMMU））。

背景技术

大多数现代计算机系统使用存储器虚拟化来实现最优的存储器使用和安全性。传统上，快速外围组件互连（PCIe）设备将只会观察未经转换的地址，而不是主机物理地址（HPA），并且因此将会利用给定的未经转换的地址来向主机设备发送读取或写入请求。在主机侧，处理器的IOMMU将接收来自设备的读/写请求，将所指定的地址转换为HPA，并完成设备的存储器访问请求（即，读/写）。为了使设备仅离析至特定的地址，软件将会将设备和IOMMU编程为使用未经转换的地址，例如虚拟地址（VA）或输入/输出虚拟地址（IOVA）。在进行了所有的地址转换（包括虚拟化环境中的从来宾物理地址（GPA）到HPA的任何转换）之后，HPA是用于访问所有平台资源的物理地址，并且在非虚拟化环境中HPA通常简称为物理地址（PA）。

地址转换服务（ATS）是PCIe协议的扩展。ATS的当前版本是PCIe规范的一部分，PCIe规范目前为4.0，其由PCI特别兴趣小组（PCI-SIG）来维护，并且可以由成员在https://pcisig.com/specifications/处访问，ATS的当前版本在本文中可以称为“ATS规范”。ATS尤其允许设备高速缓存地址转换并处置页面错误（传统的PCIe设备需要存储器定位（pinning）），这有助于支持各种性能特征，包括设备转换后备缓冲器（Dev-TLB）和共享虚拟存储器。ATS还提供对仅在物理地址上操作的高速缓存一致性链路（比如计算机快速链路（Computer Express Link，CXL）的支持。ATS允许PCIe设备从转换代理（例如，IOMMU）请求从VA到HPA的地址转换。该能力允许设备内部地在Dev-TLB中存储所得到的转换，Dev-TLB也被ATS规范称为地址转换高速缓存（ATC），并且允许设备直接使用所得到的HPA来经由主机到设备的链路（例如，PCIe接口或高速缓存一致性接口（例如，CXL、NVLink和用于加速器的高速缓存一致性互连（CCIX）））来后续访问主存储器。这样，ATS将旧有PCIe存储器访问分为多个阶段，包括：（i）转换请求，其中设备请求VA到HPA的转换；（ii）经转换的请求，其中设备利用给定的HPA请求读/写；（iii）可选的页面请求，其中设备向IOMMU做出请求，以便在失败的转换请求之后为该设备分配新的页面。

目前，ATS对转换请求和经转换的请求执行有限的安全检查，但是这些检查不足以针对恶意的ATS设备进行防护。

附图说明

在附图的各图中作为示例而不是作为限制图示了此处描述的实施例，其中同样的附图标号指代类似的要素。

图1是图示了根据实施例的包括主机系统和相关联的集成和/或分立设备的计算系统架构的框图。

图2是图示了根据实施例的使用消息认证码和无效跟踪来提供安全地址转换服务的系统的组件的框图。

图3是图示了根据实施例的在使用消息认证码和无效跟踪来提供安全地址转换服务的方法中的高级操作的流程图。

图4是图示了根据实施例的在使用消息认证码和无效跟踪来提供安全地址转换服务的方法中的操作的流程图。