實施例涉及檢測基于ATS的DMA攻擊的方法和裝置。實施例旨在提供安全的地址轉換服務。系統的一個實施例包括用于存儲數據的計算機可讀存儲器，該計算機可讀存儲器包括第一存儲器緩沖區和第二存儲器緩沖區，攻擊發現單元設備，該攻擊發現單元設備包括執行操作的處理電路系統，該操作包括：經由外圍部件互連高速(PCIe)鏈路從遠程設備接收直接存儲器訪問(DMA)請求，該直接存儲器訪問(DMA)請求包括主機物理地址和指示目標存儲器地址先前已被轉換為主機物理地址(HPA)的報頭；以及響應于遠程設備尚未從轉換代理獲得有效地址轉換或者遠程設備尚未從轉換代理獲取目標存儲器地址的有效轉換中的至少一個的確定而阻止直接存儲器訪問。

技術領域

本文描述的實施例大體上涉及存儲器地址轉換和存儲器保護的領域，更具體地，涉及用于檢測基于地址轉換服務(ATS)的直接存儲器訪問(DMA)攻擊的方法和裝置。

背景技術

地址轉換服務(ATS)是PCIe協議的擴展。ATS的當前版本是PCIe規范(目前為4.0)的一部分，該規范由PCI特別興趣小組(PCI-SIG)維護，在本文中稱為“ATS規范”。啟用ATS的設備可以高速緩存主機地址域和設備地址域之間的地址轉換。在這種啟用ATS的配置中，系統可以利用具備能力的設備的地址轉換高速緩存(ATC)，通過有效增加系統ATC的大小來提高性能。在一些示例中，具備ATS能力的設備可以向主機設備提供地址轉換。這可能會帶來安全威脅，因為此類轉換可能會繞過IOMMU存儲器訪問保護。

發明內容

提出了一種支持安全地址轉換服務的裝置，系統包括：用于存儲數據的計算機可讀存儲器，所述計算機可讀存儲器包括第一存儲器緩沖區和第二存儲器緩沖區；攻擊發現單元設備，所述攻擊發現單元設備包括用于執行包括以下各項的操作的處理電路系統：經由外圍部件互連高速(PCIe)鏈路從遠程設備接收直接存儲器訪問(DMA)請求，所述直接存儲器訪問(DMA)請求包括主機物理地址和報頭，所述報頭指示所述目標存儲器地址先前已轉換為主機物理地址(HPA)；以及響應于以下至少一項的確定而阻止直接存儲器訪問：所述遠程設備尚未從轉換代理獲得有效地址轉換；或所述遠程設備尚未從所述轉換代理獲得所述目標存儲器地址的有效轉換。

還提出了相應的計算機實施的方法。

附圖說明

在附圖的圖中通過示例而非限制的方式示出了本文描述的實施例，其中相似的附圖標記指代相似的元件。

圖1是圖示根據實施例的計算環境的部件的框圖，在該計算環境中可以實施檢測基于ATS的DMA攻擊的方法。

圖2是圖示根據實施例的計算系統的部件之間的數據流的框圖，在該計算系統中可以實施檢測基于ATS的DMA攻擊的方法。

圖3是圖示根據實施例的計算系統架構的部件的框圖，在該計算系統架構中可以實施檢測基于ATS的DMA攻擊的方法。

圖4是圖示根據實施例的用于檢測基于ATS的DMA攻擊的方法的操作的流程圖。

圖5是圖示根據實施例的用于檢測基于ATS的DMA攻擊的方法的操作的流程圖。

圖6是圖示根據實施例的計算架構的框圖，該計算架構可適于檢測基于ATS的DMA攻擊。

具體實施方式

雖然本發明的概念容易受到各種修改和替代形式的影響，但其特定實施例已在附圖中以示例的方式示出并且將在本文中詳細描述。然而，應當理解，無意將本發明的概念限制于所公開的特定形式，而是相反，旨在涵蓋與本發明和所附權利要求一致的所有修改、等效物和替代方案。