所描述的實現方式為受限和非受限加密密鑰在計算系統上的共存提供了硬件支持。這種硬件支持可以包括：具有核的處理器；硬件寄存器，用以存儲位范圍，該位范圍用以標識物理存儲器地址中的定義了密鑰標識符（ID）和劃分密鑰ID的位的數量，該劃分密鑰ID標識了非受限密鑰ID與受限密鑰ID之間的邊界。核可以將非受限密鑰ID中的至少一個分配給軟件程序，諸如管理程序。核可以進一步將受限密鑰ID分配給其信任計算基不包括該軟件程序的信任域。耦合到核的存儲器控制器可以將存儲器的物理頁面分配給信任域，其中存儲器的物理頁面的數據要利用與受限密鑰ID相關聯的加密密鑰被加密。

技術領域

本公開涉及計算機系統；更具體地說，涉及確保信任域架構與多密鑰總存儲器加密技術在服務器中的共存。

背景技術

現代處理設備采用磁盤加密來保護靜態數據。然而，存儲器中的數據采用明文（plaintext）形式，并且容易受到攻擊。攻擊者可以使用各種各樣的技術，包括基于軟件和硬件的總線掃描、存儲器掃描、硬件探測等等，以從存儲器中檢索數據。來自存儲器的此數據可以包括敏感數據，例如隱私敏感數據、IP敏感數據、以及還有用于文件加密或通信的密鑰。隨著利用云服務提供商提供的基于虛擬化的托管服務將數據和企業工作負荷移動到云中的當前趨勢，數據的暴露被進一步加劇。

附圖說明

圖1A是圖示了根據一個實現方式的示例計算系統的框圖，該示例計算系統使得能夠實現信任域（TD）架構與多密鑰總存儲器加密（MK-TME）技術在虛擬系統中的共存。

圖1B是圖示了根據一個實現方式的使得能夠實現TD架構與MK-TME技術的共存的計算系統的處理器的示例處理器核的框圖。

圖1C是圖示了根據另一實現方式的示例計算系統的框圖，該示例計算系統使得能夠實現TD架構與MK-TME技術在不具有虛擬化的計算系統中的共存。

圖2A是圖示了根據一個實現方式的將加密密鑰標識符（ID）空間劃分成TD和MK-TME密鑰ID的圖。

圖2B是圖示了根據一個實現方式的使用連結到物理存儲器地址的M個位的地址空間將加密密鑰ID編碼并且劃分成TDX和MK-TME密鑰ID的圖。

圖2C是根據一個實現方式的微架構密鑰加密表的圖示，該表由密鑰ID索引并且存儲密鑰ID與加密密鑰的關聯。

圖2D是根據一個實現方式的微架構密鑰所有權（ownership）表的圖示，該表由密鑰ID索引并且存儲密鑰ID至各種信任域的分配。

圖2E是根據一個實現方式的微架構存儲器所有權表的圖示，該表存儲針對存儲器的物理頁面的元數據屬性。

圖3是根據一個實現方式的表示存儲器加密引擎的一部分的門架構的框圖。

圖4A是圖示了根據實現方式的訪客虛擬地址到訪客物理地址以及訪客物理地址到主機物理地址的轉換（translation）的框圖。

圖4B是圖示了根據實現方式的擴展頁面表（EPT）的使用以將訪客物理地址轉換成主機物理地址的框圖。

圖4C是根據一個實現方式的存儲器地址選擇硬件的框圖，該存儲器地址選擇硬件用于在啟用了TD和MK-TME架構兩者時使用擴展頁面表將訪客物理地址映射到主機物理地址。

圖5是根據一個實現方式的用以使得能夠實現TD架構和MK-TME技術的共存的示例方法的流程圖。

圖6是根據一個實現方式的用以使得能夠實現TD和MK-TME技術的共存從而進一步使得能夠實現存儲器分頁的示例方法的流程圖。

圖7A是圖示了用于可以在其中使用本公開的一個實現方式的處理器的微架構的框圖。