本申請實施例公開一種內存數據完整性保護方法、裝置及電子設備，涉及內存數據保護技術領域，能夠有效地對內存中的數據進行完整性保護。所述內存數據完整性保護方法，包括：把待寫入數據分割成數據塊；根據數據塊的寫入地址確定所述寫入地址所對應的存儲單元；根據所述存儲單元以及預先建立的校驗樹，確定校驗路徑；從所述校驗樹的根節點開始，沿所述校驗路徑，依次對各節點進行校驗；在依次對所述校驗路徑上的各節點校驗通過后，對所述數據塊進行數據校驗，若校驗通過，則將所述數據塊寫入所述存儲單元；基于所述數據塊在所述存儲單元中的寫入，更新所述校驗樹。本申請實施例適用于內存數據的完整性保護。

技術領域

本發明涉及內存數據保護技術領域，尤其涉及一種內存數據完整性保護方法、裝置及電子設備。

背景技術

研究表明，攻擊者可以讀取或修改內存中的數據。為了保護內存中數據的機密性、完整性，并防御重放攻擊，提出了內存加密引擎(MEE，Memory Encryption Engine)，并給出了相應的擴展指令集SGX。通常情況下，CPU需要的數據是由內存控制器(MC，MemoryController)來操作，但涉及到被保護數據時，就需要由MEE來控制。

當數據寫入內存前，MEE中的加密模塊會把數據加密；當加密數據從內存中讀出時，MEE中的解密模塊會把數據解密，然后送到緩存，供CPU核使用。即便內存中的數據是密文存儲，但有可能被修改或替換，為此需要對內存數據進行完整性保護。

發明內容

有鑒于此，本發明實施例提供一種內存數據完整性保護方法、裝置及電子設備，能夠有效地對內存中的數據進行完整性保護。

第一方面，本發明實施例提供一種內存數據完整性保護方法，包括：把待寫入數據分割成數據塊；根據一數據塊的寫入地址，確定所述寫入地址所對應的存儲單元；其中，所述數據塊為所述待寫入數據分割后形成的兩個以上的數據塊中的其中一個數據塊，所述存儲單元位于內存中的數據保護存儲區，所述數據保護存儲區中的每個存儲單元分配有一局部計數器，每N個局部計數器分配有一全局計數器；N為大于等于2的自然數；根據所述存儲單元以及預先建立的校驗樹，確定校驗路徑；其中，所述校驗樹的每個節點具有一全局計數器和N個局部計數器，每個節點與上一層節點中的一局部計數器相對應，每個末節點的N個局部計數器與所述數據保護存儲區中的N個存儲單元一一對應；從所述校驗樹的根節點開始，沿所述校驗路徑，依次對各節點進行校驗；在依次對所述校驗路徑上的各節點校驗通過后，對所述數據塊進行數據校驗，若校驗通過，則將所述數據塊寫入所述存儲單元；基于所述數據塊在所述存儲單元中的寫入，更新所述校驗樹。

根據本發明實施例中的一具體實現方式，所述從所述校驗樹的根節點開始，沿所述校驗路徑，依次對各節點進行校驗，包括：從所述校驗樹的根節點開始，沿一條校驗路徑，依次對各節點進行校驗；所述從所述校驗樹的根節點開始，沿一條校驗路徑，依次對各節點進行校驗，包括：獲取第i個節點的全局計數器和第j個局部計數器的值，結合第i-1個節點的全局計數器和各局部計數器的值，計算一節點校驗值，將計算的節點校驗值與第i-1個節點中存儲的節點校驗值進行比較，若二者一致，則對第i-1個節點校驗成功；其中，所述第i個節點和第i-1個節點為所述校驗路徑上兩個相鄰的節點，所述第i-1個節點與所述第i個節點的第j個局部計數器相對應；其中，2≤i≤M，1≤j≤N，M為校驗樹的最大層數。

根據本發明實施例中的一具體實現方式，所述對所述數據塊進行數據校驗，包括：獲取至少兩個存儲單元所存儲的數據，結合該至少兩個存儲單元所對應的局部計數器和全局計數器的值，計算出一數據校驗值；其中，所述至少兩個存儲單元包括所述寫入地址所對應的存儲單元；將計算出的所述數據校驗值，與預先存儲的數據校驗值進行比較；其中，所述預先存儲的數據校驗值，預先根據所述至少兩個存儲單元所存儲的數據，結合所述至少兩個存儲單元所對應的局部計數器和全局計數器的值計算得出；若計算出的所述數據校驗值與所述預先存儲的數據校驗值一致，則對所述數據塊的數據校驗通過。