公開了實現用于為存儲器地址范圍支持可配置安全級別的技術的處理器。在一個實施例中，處理器包括：處理核；存儲器控制器，可操作地耦合至處理核，用于訪問芯片外存儲器中的數據；以及存儲器加密引擎(MEE)，可操作地耦合至存儲器控制器。MEE用于：響應于檢測到關于與芯片外存儲器相關聯的存儲器地址范圍內的存儲器地址標識的存儲器位置的存儲器訪問操作，基于存儲在安全范圍寄存器上的值來標識與存儲器位置相關聯的安全級別指示符。MEE進一步用于：考慮到安全級別指示符而訪問與芯片外存儲器的存儲器地址范圍相關聯的數據項的至少一部分。

技術領域

本公開的實施例一般涉及計算機系統，并且更具體地涉及但不限于支持用于存儲器地址范圍的可配置安全級別。

背景

確保計算機系統內的應用和數據的執行和完整性的安全越來越重要。各種已知的安全技術不能以靈活但可靠的方式充分確保應用和數據的安全。

附圖說明

通過下文給出的具體實施方式并通過本公開各種實施例的附圖，將更完整地理解本公開。然而，不應當認為這些附圖將本公開限制為特定實施例，而是這些附圖僅用于說明和理解。

圖1示出根據一個實施例的處理設備的框圖。

圖2示出根據一個實施例的包括用于支持用于存儲器地址范圍的可配置安全級別的存儲器的系統。

圖3示意性地示出根據本公開的一個或多個方面的為存儲用于實現完整性和重放保護的加密元數據所采用的示例數據結構。

圖4示出根據一個實施例的用于支持用于存儲器地址范圍的可配置安全級別的方法的流程圖。

圖5A是示出根據一個實施例的處理器的微架構的框圖。

圖5B是示出根據一個實施例的有序流水線以及寄存器重命名級、亂序發布/執行流水線的框圖。

圖6是示出根據一種實現方式的計算機系統的框圖。

圖7是示出系統的框圖，在該系統中可以使用本公開的實施例。

圖8是示出系統的框圖，在該系統中可以使用本公開的實施例。

圖9是示出系統的框圖，在該系統中可以使用本公開的實施例。

圖10是示出芯片上系統(SoC)的框圖，在該芯片上系統中可以使用本公開的實施例。

圖11是示出SoC設計的框圖，在該SoC設計中可以使用本公開的實施例。

圖12示出了示出計算機系統的框圖，在該計算機系統中可以使用本公開的實施例。

具體實施方式

描述了用于支持用于存儲器地址范圍的可配置安全級別的技術。在一個實施例中，提供了一種處理器。該處理器可以包括配置為實現軟件防護擴展技術以提供存儲器保護的處理邏輯。“存儲器保護”通常可以包括通過加密、完整性和/或重放保護來保護數據的機密性。完整性保護可以抵抗攻擊，其中例如，攻擊者可以在解密之前修改存儲器中的經加密的數據。重放保護可以阻止攻擊，其中例如，攻擊者使得解密操作重復以獲得對受保護的數據的未經授權的訪問。

使用提供安全的硬件加密的計算和存儲環境(例如，安全飛地)的某些處理器指令。本文中的“安全飛地”將指應用的地址空間內的使應用能保持秘密并且保護其代碼的完整性的受保護的區域。對來自未駐留在飛地中的應用的與安全飛地相關聯的數據的訪問被阻止，即使這種訪問是由有特權的應用(諸如BIOS、操作系統或虛擬機監視器)嘗試的。此外，安全飛地的數據內容不能通過有特權的代碼或者甚至不能通過向存儲器總線應用硬件探頭來解密。