国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      處理器主存儲器的存儲器內(nèi)容的安全保護的制作方法

      文檔序號:6435139閱讀:205來源:國知局
      專利名稱:處理器主存儲器的存儲器內(nèi)容的安全保護的制作方法
      技術領域
      本文中所揭示的標的物涉及存儲器裝置及其安全性。
      背景技術
      舉例來說,存儲器裝置可越來越多地經(jīng)實施以存儲機密信息,例如財務、醫(yī)療及/ 或人事記錄。另外,此類存儲器裝置可存儲用以操作計算系統(tǒng)的信息,例如可執(zhí)行代碼、系統(tǒng)操作參數(shù)等。令人遺憾地,此類重要及/或機密信息可以是越來越復雜的安全攻擊的目標。舉例來說,此攻擊可涉及對財務記錄的數(shù)據(jù)庫進行未經(jīng)授權的修改、讀取及/或下載, 從而促成身份盜竊。舉例來說,安全技術可包含用以驗證存儲器裝置的操作以防止在不經(jīng)過簽名確認過程的情況下修改及/或讀取存儲器內(nèi)容的技術。


      將參考以下各圖描述非限制性及非窮盡性實施例,其中除非另有說明,否則在所有各圖中相似參考編號指代相似部件。圖1是根據(jù)一實施例的系統(tǒng)配置的示意圖。圖2是根據(jù)一實施例的處理器-存儲器系統(tǒng)的示意圖。圖3是根據(jù)另一實施例的處理器-存儲器系統(tǒng)的示意圖。圖4是圖解說明根據(jù)一實施例的驗證主存儲器的各部分的過程的示意圖。圖5是根據(jù)一實施例的驗證主存儲器中的寫入命令的過程的流程圖。圖6是執(zhí)行安全存儲器測量命令的過程的流程圖。圖7是根據(jù)一實施例的計算系統(tǒng)及存儲器裝置的示意圖。
      具體實施例方式此說明書通篇所提及的“一項實施例”或“一實施例”意指結(jié)合所述實施例描述的特定特征、結(jié)構或特性包含于所主張的標的物的至少一個實施例中。因此,在此說明書通篇中的各個地方出現(xiàn)的短語“在一項實施例中”或“一實施例”未必完全指代同一實施例。此外,可將所述特定特征、結(jié)構或特性組合于一個或一個以上實施例中。本文中所描述的實施例可包含主存儲器,所述主存儲器包括持久性存儲器。舉例來說,持久性存儲器可包括非易失性存儲器,例如相變存儲器(PCM) ,NOR快閃及NAND快閃。 因此,持久性主存儲器可包括存儲器陣列,所述存儲器陣列包含非易失性存儲器。在一項實施方案中,持久性主存儲器可包含存儲器陣列,所述存儲器陣列的一個部分包括一個或一個以上類型的非易失性存儲器且另一部分包括易失性存儲器,如下文所描述。在另一實施方案中,持久性主存儲器可包含存儲器陣列,所述存儲器陣列僅包括非易失性存儲器,但所主張的標的物并不受如此限制。本文中,主存儲器是指可由處理實體用以維持可由所述處理實體執(zhí)行的一個或一個以上應用程序的存儲器,但所請求的標的物在此方面并不受限制。在一實施方案中,舉例來說,主存儲器的特定部分可由處理實體通過直接尋址此類特定部分來存取。直接尋址可包括其中處理實體可發(fā)布用以讀取存儲器中的特定位置的地址且隨后讀取所述特定位置的過程。相比之下,間接尋址存儲器可包括涉及處理實體可向其發(fā)布用以讀取存儲器中的特定位置的地址的輸入/輸出(I/O)裝置的過程。在此情況下,所述I/O裝置可通過呈現(xiàn) (讀取)所述特定位置中的數(shù)據(jù)來作出響應。舉例來說,基本輸入/輸出系統(tǒng)¢10 軟件可存儲于不可由處理實體通過直接尋址來存取的非易失性、只讀存儲器(ROM)及/或快閃存儲器中。在一實施例中,操作存儲器系統(tǒng)的方法可包含用于對加載到處理器的主存儲器中的對象進行安全檢查的技術。舉例來說,此類對象可包括與待寫入到主存儲器的寫入命令相關聯(lián)的寫入命令及/或信息。用于對各對象進行安全檢查的此類技術可涉及能夠在存儲器裝置內(nèi)執(zhí)行經(jīng)驗證操作的存儲器裝置。舉例來說,可在修改所述存儲器裝置的內(nèi)容之前執(zhí)行確認安全簽名的過程。對各對象進行安全檢查可涉及執(zhí)行安全散列算法(SHA)測量及 /或其他加密測量。盡管此類測量可相對耗費時間,但本文中所描述的實施例包含用以改進執(zhí)行此類加密測量的效率的方法及/或存儲器裝置。舉例來說,可通過減少執(zhí)行此類測量花費的時間及/或減少對處理器-存儲器系統(tǒng)的操作需求來改進效率。舉例來說,如果主存儲器包括持久性存儲器,那么可在將加密測量存儲于非易失性存儲器中時較不經(jīng)常執(zhí)行此類測量。在一實施例中,包括例如中央處理單元(CPU)的處理實體的系統(tǒng)可包含持久性主存儲器。舉例來說,持久性主存儲器可包括待由CPU使用的主存儲器及/或高速緩沖存儲器的至少一部分。舉例來說,此系統(tǒng)可包括用以在若干環(huán)境中的任一者中執(zhí)行應用程序的計算系統(tǒng),例如,計算機、蜂窩電話、PDA、數(shù)據(jù)記錄器及導航設備,此處僅舉幾個實例。在一實施方案中,舉例來說,此系統(tǒng)可包含用于虛擬化的資源管理器,例如管理程序。在一些實例中,主存儲器及/或高速緩沖存儲器可包括持久性存儲器的一部分及其它類型的隨機存取存儲器(RAM)的一部分。在特定實例中,主存儲器可包含PCM及動態(tài)隨機存取存儲器(DRAM) 的至少一部分。舉例來說,此類存儲器配置可提供例如非易失性、相對高的編程/讀取速度及/或經(jīng)延長的PCM壽命等益處。在一項實施方案中,持久性主存儲器可提供避免需要重新確定尤其與對存儲于所述持久性主存儲器中的內(nèi)容的安全保護有關的信息的益處。舉例來說,此信息可包括SHA 測量、加密密鑰及/或簽名等,如下文所描述。在另一實施方案中,持久性主存儲器還可提供避免需要將來自外部非易失性存儲器的此安全信息重新加載到易失性DRAM中的益處, 如下文詳細描述。舉例來說,如果不將安全信息維持于持久性主存儲器中,那么此重新確定及/或重新加載安全信息可以其它方式在處理器重新啟動過程期間發(fā)生。因此,經(jīng)改進的安全保護可屬于由持久性主存儲器提供的若干優(yōu)點中。當然,包含PCM或其它持久性存儲器作為主存儲器的實施例的此類特征及細節(jié)僅為實例,且所主張的標的物并不受如此限制。在計算系統(tǒng)的實施例中,處理器可將信息寫入到持久性主存儲器。然而,在允許將此信息寫入到所述持久性主存儲器之前,可分析此信息以確定此信息是否包括未經(jīng)授權的部分。舉例來說,信息的此類未經(jīng)授權的部分(例如,計算機病毒、惡意軟件等)可不利于已存儲于持久性主存儲器中的信息的完整性。因此,用以確定信息是否包括未經(jīng)授權的部分的分析可涉及安全檢查過程。舉例來說,安全檢查過程可包含在將此信息加載到持久性主存儲器之前執(zhí)行SHA測量及/或其它加密安全測量(例如,MD5、SHA-I、SHA-256,此處僅舉幾個實例)。如果確定此信息不包含未經(jīng)授權的部分,那么可允許將此信息加載到主存儲器RAM。如果確定此信息的確包含未經(jīng)授權的部分,那么可不允許將此信息加載到主存儲器RAM。安全檢查過程可相對耗費時間。在涉及持久性主存儲器的實施方案中,舉例來說,不需在計算系統(tǒng)的重新啟動之后或在處理器從用戶特權向上跳躍到監(jiān)督者/安全特權之后即刻執(zhí)行此安全檢查過程。特定來說,可將例如在安全檢查過程中使用的SHA測量及 /或其它加密測量等安全信息存儲于持久性主存儲器中。如果處理器及/或持久性主存儲器經(jīng)歷功率損失或其它破壞性事件,那么不需從持久性主存儲器損失此類測量。因此,可在重新初始化(例如,重新啟動)處理器之后或在處理器從用戶特權向上跳躍到監(jiān)督者/安全特權之后即刻利用此類測量及/或相關聯(lián)的安全信息。在一實施例中,操作存儲器系統(tǒng)的方法可包含在可由處理器存取的主存儲器中接收寫入命令及確定所述主存儲器內(nèi)的寫入命令的驗證。換句話說,可由位于主存儲器內(nèi)的一個或一個以上電子組件執(zhí)行寫入命令及/或與寫入命令相關聯(lián)的信息的驗證,如下文詳細描述。舉例來說,主存儲器內(nèi)的位置可包括單個芯片內(nèi)、裸片上、經(jīng)堆疊芯片內(nèi)及/或IC 封裝中的位置。在一實施方案中,舉例來說,“在主存儲器內(nèi)”可意指在包含主存儲器及具有到控制器的外部接口的驗證邏輯的物理邊界內(nèi)。盡管主存儲器可包括持久性存儲器,但此主存儲器不需包括非易失性存儲器。舉例來說,此主存儲器可包括DRAM或其它易失性存儲器。在特定實施方案中,操作存儲器系統(tǒng)的方法可包含在主存儲器內(nèi)至少部分地基于寫入命令及/或與寫入命令相關聯(lián)的信息的經(jīng)確定驗證而確定是否修改主存儲器的內(nèi)容。舉例來說,主存儲器可從將所述主存儲器以操作方式連接到一個或一個以上處理器的系統(tǒng)總線接收寫入命令。如果寫入命令被確定為不可信或以其它方式未經(jīng)授權以修改所述主存儲器或其一部分,那么所述主存儲器可忽略所述寫入命令。當然,操作存儲器系統(tǒng)的方法的此類細節(jié)僅為實例,且所主張的標的物在此方面并不受限制。在一實施例中,存儲器裝置可包括存儲器單元陣列及位于所述存儲器裝置內(nèi)的控制器。在此控制器接收用以存取所述存儲器單元陣列的寫入命令之后,所述控制器可即刻確定所述寫入命令的驗證。盡管存儲器單元陣列可包括持久性存儲器,但此存儲器單元陣列不需包括持久性存儲器。舉例來說,此陣列可包括DRAM或其它易失性存儲器。在特定實施方案中,控制器還可至少部分地基于寫入命令及/或與寫入命令相關聯(lián)的信息的經(jīng)確定驗證而確定是否修改存儲器單元陣列的內(nèi)容。舉例來說,控制器可從將包含所述控制器的存儲器裝置以操作方式連接到一個或一個以上處理器的總線接收寫入命令。如果此寫入命令被確定為可信或以其它方式經(jīng)授權以修改所述存儲器裝置或其一部分,那么所述控制器可執(zhí)行所述寫入命令。在包含持久性主存儲器的實施例中,舉例來說,此存儲器裝置可提供例如在主存儲器及/或處理器處的功率損失期間維持與寫入命令及/或與寫入命令相關聯(lián)的信息的驗證相關聯(lián)的信息的益處。在此情況下,如果再次接收來自同一處理器(舉例來說)的寫入命令,那么不需重復與驗證相關聯(lián)的加密測量。當然,存儲器裝置的此類細節(jié)僅為實例,且所主張的標的物在此方面并不受限制。
      圖1是根據(jù)一實施例的處理系統(tǒng)100的示意性框圖。處理系統(tǒng)100可包括CPU 110、主存儲器120及/或高速緩沖存儲器130。特定來說,CPU 110可托管維持于主存儲器 120中的一個或一個以上應用程序。盡管圖1中未展示,但處理系統(tǒng)100可包括額外CPU或其它此類處理實體、額外主存儲器及/或額外高速緩沖存儲器。舉例來說,CPU 110、主存儲器120及/或高速緩沖存儲器130可共同地構成用于較大多處理器系統(tǒng)的構建塊。在一個實施方案中,處理系統(tǒng)100可使用包含一個或一個以上高速緩沖存儲器層級的存儲器分級來操作。任一此層級可包括在多個CPU當中共享的持久性存儲器。舉例來說,高速緩沖存儲器可包括第一層級高速緩沖存儲器及第二層級高速緩沖存儲器,其中的任一者的至少一部分可包括持久性存儲器。在另一實施方案中,處理系統(tǒng)100可包含資源管理器以允許多個操作系統(tǒng)同時運行(例如,硬件虛擬化)。舉例來說,此資源管理器可包括管理程序。當然,處理系統(tǒng)及高速緩沖存儲器的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。 在一實施例中,主存儲器110中的至少一部分可包括持久性存儲器。在特定實施方案中,主存儲器110的另一部分可包括其它類型的存儲器,例如易失性DRAM。持久性存儲器的各部分不需相連地布置于主存儲器210中,舉例來說,主存儲器210可包括一個或一個以上裸片結(jié)構。圖2是根據(jù)一實施例的處理器-存儲器系統(tǒng)200的示意圖。舉例來說,此處理器-存儲器系統(tǒng)200可包含于主機裝置(未展示)中,例如個人數(shù)字助理(PDA)、移動電話、 計算裝置及/或其它電子裝置。主機處理器210可經(jīng)由存儲器控制器212以通信方式連接到主存儲器220。在一實施方案中,舉例來說,存儲器控制器212可位于主存儲器220外部, 例如,位于包括主存儲器220的IC或IC封裝外部的單個裸片或IC封裝上。舉例來說,主機處理器210可存取主存儲器220以將信息寫入到主存儲器220或從主存儲器220讀取信息。在一項實施方案中,處理器-存儲器系統(tǒng)200外部的外部實體205可以通信方式連接到主機處理器210。在特定實施方案中,舉例來說,外部實體205可與主機處理器210無線地通信。舉例來說,外部實體205可包括可經(jīng)由因特網(wǎng)存取的服務器或類似計算裝置,或存儲器裝置(例如,快閃存儲器、光學計算機磁盤或類似裝置)。外部實體205還可包括可執(zhí)行代碼,例如電子郵件應用程序。主機處理器210及外部實體205可彼此單獨地及/或在不同時間處與主存儲器220通信,但所主張的標的物并不受如此限制。如下文進一步詳細解釋,外部實體205可以是計算機病毒、惡意軟件等的來源,其可包括用以嘗試存取主存儲器 220的未經(jīng)授權的命令,但所主張的標的物在此方面并不受限制。舉例來說,外部實體205 可包括因特網(wǎng)上的網(wǎng)站的服務器,其可以是特洛伊木馬程序(Troian horse)的來源。在另一實例中,外部實體205可包括電子郵件應用程序,其可用于意外地打開包含計算機病毒的電子郵件。在又一實例中,外部實體205可包括便攜式快閃存儲器裝置,其可未料想到地存儲計算機病毒。在此類情況下,特洛伊木馬程序、計算機病毒及/或其它惡意軟件的存在可導致未經(jīng)授權地嘗試存取主存儲器220。主存儲器220可包括存儲器陣列沈0、微控制器215及/或安全部分M0。在一項實施方案中,存儲器陣列260可包括可將數(shù)據(jù)寫入到其及/或可從其讀取數(shù)據(jù)的可尋址存儲器單元陣列。舉例來說,存儲器陣列260可分割成兩個或兩個以上部分(例如,子部分 270),其可經(jīng)保留用于維持由安全部分240提供的安全信息。在一項實施方案中,子部分 270可存儲安全信息,例如加密散列值、簽名、密鑰及類似信息。舉例來說,子部分270中的特定存儲器位置可用于維持對應于存儲于存儲器陣列260中的特定存儲器位置中的信息的此安全信息。舉例來說,可在主存儲器220內(nèi)執(zhí)行可用于驗證所接收寫入命令的此類散列值、簽名、密鑰及類似信息的確定。存儲器陣列260可包括快閃存儲器、PCM及/或其它持久性存儲器,此處僅舉幾個實例。在其他實施例中,存儲器陣列260可包括易失性存儲器 (例如,DRAM(舉例來說))或持久性存儲器與易失性存儲器的組合。安全部分240可包括邏輯電路組件及/或維持于存儲器陣列沈0中的可執(zhí)行代碼。安全部分240可驗證及/或確認從主機處理器210及/或外部實體205接收的命令。 舉例來說,此驗證可涉及使用安全密鑰的技術。在一項實施方案中,微控制器215可從主機處理器210(例如,經(jīng)由存儲器控制器21 接收寫入命令且隨后調(diào)用安全部分MO以驗證及/或確認此類所接收寫入命令。舉例來說,在此驗證之后,微控制器215可即刻允許使用適當存儲器尋址來對存儲器陣列260進行存取。在一項實施方案中,微控制器215可從安全部分240檢索安全信息且將此信息存儲于存儲器陣列260中。特定來說,如上文所解釋, 可將安全信息存儲于子部分270中,子部分270可包括存儲器陣列沈0的經(jīng)保留用于存儲安全信息的一部分。當然,處理器-存儲器系統(tǒng)200的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。圖3是根據(jù)一實施例的處理器-存儲器系統(tǒng)300的示意性框圖。此處理器-存儲器系統(tǒng)可包含任一數(shù)目的處理實體,但圖3中僅展示一個此實體。在特定實例中,此處理實體可包括CPU 310。在一項實施方案中,舉例來說,CPU 310可包含局部存儲器(未展示), 所述局部存儲器包括嵌入式持久性存儲器。在另一實施方案中,CPU 310可存取包含持久性存儲器的主存儲器320。特定來說,持久性存儲器可包含于包括高速緩沖存儲器(例如, 各個高速緩沖存儲器層級)及主存儲器的存儲器分級中。舉例來說,此主存儲器的至少一部分可包括PCM。此存儲器分級可用于管理包括高速緩沖存儲器及主存儲器的分布式存儲器。CPU 310(及可存在于計算平臺中的其它CPU)可共享此分布式存儲器。可包括快閃存儲器、硬驅(qū)動機、光學計算機磁盤(此處僅舉幾個實例)的外部存儲器330可經(jīng)由CPU 310 以通信方式連接到主存儲器320。此處,CPU 310可將寫入命令傳輸?shù)街鞔鎯ζ?20以將信息從外部存儲器330傳送到主存儲器320。令人遺憾地,在一些情況下,舉例來說,此信息可包括未經(jīng)授權的、或許惡意代碼,例如計算機病毒、特洛伊木馬程序及其它惡意軟件。如上文所提及,參考圖2,外部實體可包括此未經(jīng)授權的代碼的另一來源。然而,如本文中所描述,主存儲器320可能夠?qū)嵤┯靡员苊鈱⒋宋唇?jīng)授權的信息寫入到主存儲器320中的技術。在一項實施方案中,處理器-存儲器系統(tǒng)300可包括計算平臺的一部分。在此實施方案中,CPU 310可包含高速緩沖存儲器(未展示),所述高速緩沖存儲器包括可指向特定頁表的轉(zhuǎn)換后備緩沖器(TLB),所述特定頁表又可指向主存儲器320的一個或一個以上個別頁。在其中主存儲器320包括易失性存儲器(例如,DRAM(舉例來說))的實施例中, 如果使CPU 310及/或主存儲器320的電力中斷及/或間斷,那么可丟失主存儲器320的存儲器內(nèi)容。另一方面,在其中主存儲器320包括持久性存儲器(例如,PCM(舉例來說)) 的實施例中,即使CPU及/或主存儲器經(jīng)歷中斷及/或間斷電源,也可維持主存儲器320的存儲器內(nèi)容。在此情況下,維持于主存儲器320的一部分(例如,頁370(舉例來說))中的安全信息不需被丟失且可用于隨后的驗證過程,如下文詳細討論。當然,處理器系統(tǒng)的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。
      在一實施例中,主存儲器320可包括存儲器陣列360、存儲器控制器315及安全部分340。存儲器陣列360可包括一個或一個以上部分,例如包含(舉例來說)頁368及頁 370的各頁。在特定實施方案中,頁370可包括其中可存儲安全信息的至少一部分的存儲器位置,如下文詳細描述。安全部分340可包含安全邏輯塊346、加密密鑰存儲裝置344及存儲器范圍識別符342。舉例來說,安全邏輯塊346可包括若干熟知加密邏輯塊中的任一者, 例如SHA邏輯塊。加密密鑰存儲裝置344可包括寄存器或存儲器陣列360的其它存儲器部分以存儲供授權信息的過程使用的一個或一個以上密鑰。因此,此類密鑰可包括主存儲器 320內(nèi)部的信息。此外,一旦提供,此類密鑰便可為主存儲器320專用。加密密鑰存儲裝置 344可包括用以維持密鑰(其值可對用戶保密)的持久性存儲器及/或處理器-存儲器系統(tǒng)300外部的電子實體。在一項實施方案中,處理器210(圖2)不需知道此類密鑰。在此情況下,舉例來說,外部過程或處理器可正管理寫入操作,因此局部處理器可傳遞命令且可不知道密鑰。如果局部處理器210正更新安全區(qū)域,那么局部處理器210可知道密鑰。然而,局部處理器知道局部存儲器密鑰相對較不安全。外部管理機構知道密鑰且產(chǎn)生命令更安全。在另一實施方案中,處理器210可知道密鑰。在此情況下,舉例來說,如果可能違反安全性的黑客或其它實體可以使用處理器210,那么此黑客或其它實體可得到密鑰且可寫入到存儲器。安全邏輯塊346可利用維持于加密密鑰存儲裝置344中的密鑰,如下文詳細討論。存儲器范圍識別符342可包括寄存器或存儲器陣列360的其它存儲器部分。存儲器范圍識別符342可包括用以維持描述及/或識別存儲器陣列360的待受安全保護的一個或一個以上部分的信息的持久性存儲器。舉例來說,存儲器范圍識別符342可包括寄存器存儲信息,其描述在不執(zhí)行授權過程的情況下不向其寫入的頁的范圍。在一實施方案中,存儲器控制器315可經(jīng)配置以辨識可用于寫入到主存儲器320 的安全部分的安全寫入命令。存儲器控制器315還可經(jīng)配置以辨識可由處理器使用以重新測量及/或重新證實存儲器內(nèi)容的至少一部分的驗證的存儲器測量命令,如下文所討論。主存儲器320可檢驗在所述主存儲器處接收的寫入命令。主存儲器320可防止對主存儲器320的內(nèi)容的未經(jīng)授權的修改以使得此類存儲器內(nèi)容可繼續(xù)有效且完整性受到保護。如果主存儲器320包括持久性存儲器,那么不需在對處理器-存儲器系統(tǒng)300的重新初始化之后即刻重復在確定對寫入命令的授權時所涉及的一個或一個以上過程。舉例來說,一旦使用安全寫入命令將數(shù)據(jù)對象寫入到持久性主存儲器,所述存儲器對象便可是安全的且完整性受到保護直到其被覆寫。圖4是根據(jù)一實施例的可發(fā)生于處理器-存儲器系統(tǒng)400中的過程的示意圖。處理器-存儲器系統(tǒng)400可類似于上文所描述的處理器-存儲器系統(tǒng)300,除處理器-存儲器系統(tǒng)400可包含持久性主存儲器420以外。舉例來說,持久性主存儲器420可由可類似于 CPU310(如圖3中所展示)的CPU 410存取。在一實施例中,主存儲器420可包括存儲器陣列460、存儲器控制器415及安全部分440。存儲器陣列460可包括一個或一個以上部分,例如包含(舉例來說)頁468及頁 470的各頁。在特定實施方案中,頁470可包括其中可存儲安全信息的至少一部分的存儲器位置。安全部分440可包含安全邏輯塊446、加密密鑰存儲裝置444及存儲器范圍識別符442,其可類似于上文所描述的安全邏輯塊346、加密密鑰存儲裝置344及存儲器范圍識別符;342。
      在特定實施方案中,且在以下說明中,持久性主存儲器420可包括若干頁,但所主張的標的物并不受如此限制。舉例來說,持久性主存儲器420可包括多個頁,包含頁470及頁468。特定來說,頁470可包含索引表,所述索引表可包括對應于持久性主存儲器420中的特定個別頁的加密散列值。在一實施方案中,舉例來說,此索引表可位于持久性主存儲器 420中的特定頁中以允許存儲器控制器415執(zhí)行重新確認存儲器對象的過程??稍谟蒀PU 410請求之后即刻執(zhí)行此重新確認過程,其中CPU 410可將存儲器測量命令傳輸?shù)匠志眯灾鞔鎯ζ?20。舉例來說,頁470可包含對應于頁468的散列值472、對應于頁466的散列值 474、對應于頁469的散列值476等。舉例來說,可已在較早紀元(epoch)期間計算此類散列值,從而甚至在斷電事件期間仍將所述散列值維持于持久性主存儲器420中。重新確認過程的實例在圖4中由從頁470延伸到頁466、468及469的垂直箭頭指示。盡管圖4指示可將例如散列值等加密信息存儲于頁470中,但所主張的標的物并不限于此類相對位置。舉例來說,散列值可位于頁468或其它頁處。當然,持久性主存儲器的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。圖5是用以驗證安全寫入命令的過程500的流程圖。舉例來說,可由上文所描述的處理器-存儲器系統(tǒng)300或400執(zhí)行此過程。在框510處,可將包括如上文所描述的加密值的秘密密鑰存儲于主存儲器的一個或一個以上部分中。舉例來說,可將此類秘密密鑰存儲于圖3中所展示的加密密鑰存儲裝置344中。與其中將秘密密鑰存儲于主存儲器外部的情況相比,維持主存儲器內(nèi)的此類秘密密鑰可提供改進存儲器內(nèi)容的安全性的益處。舉例來說,在一項實施方案中,此類秘密密鑰可不被修改且可用于來自已知源的驗證邏輯。在另一實施方案中,可在存在用于更新秘密密鑰的安全協(xié)議的情況下修改此類秘密密鑰。在框520處,主存儲器可接收安全寫入命令。在一實施方案中,舉例來說,可經(jīng)由總線從主存儲器外部的處理器或存儲器控制器接收此命令。在框530處,所述主存儲器內(nèi)的存儲器控制器可執(zhí)行驗證所接收的安全寫入命令的過程。舉例來說,所述主存儲器內(nèi)的此存儲器控制器可類似于圖3中所展示的存儲器控制器315。在一實施例中,驗證所接收的安全寫入命令的此過程可包含將SHA發(fā)動機應用于所述安全寫入命令及/或與所述安全寫入命令相關聯(lián)的信息。在一項實施方案中,可使用微控制器來應用此SHA發(fā)動機,但所主張的標的物并不受如此限制。存儲于所述主存儲器內(nèi)的秘密密鑰還可包含于由所述SHA發(fā)動機執(zhí)行的操作中。在一項實施方案中,圖3中所展示的安全邏輯塊346可包括用以執(zhí)行此SHA發(fā)動機的操作的微控制器及/或軟件,但所主張的標的物并不受如此限制。因此,舉例來說,SHA 發(fā)動機可產(chǎn)生加密簽名,例如散列值。同時,在框540處,舉例來說,可將此類散列值存儲于主存儲器的一部分(例如,包括散列值的索引的頁470)中。在菱形550處,存儲器控制器 315可確定安全寫入命令是否可信。如果不可信,那么過程500可進行到框555,其中忽略所述寫入命令。在此情況下,舉例來說,可不修改存儲于受保護的主存儲器中的內(nèi)容。如果存儲器控制器315確定安全寫入命令為可信,那么過程500可進行到框560,其中可執(zhí)行所述寫入命令以修改存儲于主存儲器中的內(nèi)容。當然,過程500的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。圖6是執(zhí)行安全存儲器測量命令的過程600的流程圖。舉例來說,可由上文所描述的處理器-存儲器系統(tǒng)300或400執(zhí)行此過程。在框610處,可將包括如上文所描述的先前加密計算的結(jié)果的散列值存儲于主存儲器的一個或一個以上部分中。舉例來說,可將此類散列值存儲于包括對應于圖4中所展示的主存儲器420的特定頁的此類散列值的索引的頁470中。維持主存儲器內(nèi)的此類散列值可提供改進重新驗證存儲于主存儲器中的對象的效率(例如,速度)的益處。在框620處,主存儲器可接收安全存儲器測量命令。在一實施方案中,舉例來說,可經(jīng)由總線從主存儲器外部的處理器或存儲器控制器接收安全存儲器測量命令。在菱形630處,主存儲器內(nèi)的存儲器控制器可確定對應于由安全存儲器測量命令指定的特定對象的散列值是否已存儲于主存儲器中。舉例來說,如上文所提及,存儲器控制器415可對圖4中所展示的主存儲器420的頁470中的散列值的索引進行搜索。如果已存儲此散列值,那么過程600可進行到框640,其中已存儲的散列值可用于重新驗證存儲于主存儲器中且由所述安全存儲器測量命令指定的對象。另一方面,如果此散列值是不可用,那么過程600可進行到框635,其中可產(chǎn)生返回錯誤。當然,過程600的此類細節(jié)僅為實例,且所主張的標的物并不受如此限制。圖7是圖解說明包含存儲器裝置710的計算系統(tǒng)700的例示性實施例的示意圖。 計算裝置704可表示可為可配置以管理存儲器裝置710的任一裝置、器具或機器。存儲器裝置710可包含微控制器715及存儲器722。在一項實施方案中,微控制器715可在物理上位于存儲器722內(nèi)。通過舉例而非限制的方式,計算裝置704可包含一個或一個以上計算裝置及/或平臺,例如,桌上型計算機、膝上型計算機、工作站、服務器裝置或類似裝置; 一個或一個以上個人計算或通信裝置或器具,例如,個人數(shù)字助理、移動通信裝置或類似裝置;計算系統(tǒng)及/或相關聯(lián)服務提供者能力,例如,數(shù)據(jù)庫或數(shù)據(jù)存儲服務提供者/系統(tǒng); 及/或其任一組合。在一實施例中,計算裝置704可包含一個或一個以上處理單元720,其通過總線 740及主機或存儲器控制器712以操作方式耦合到存儲器722。處理單元720表示可配置以執(zhí)行數(shù)據(jù)計算程序或過程的至少一部分的一個或一個以上電路。通過舉例而非限制的方式,處理單元720可包括一個或一個以上處理器、控制器、微處理器、微控制器、專用集成電路、數(shù)字信號處理器、可編程邏輯裝置、現(xiàn)場可編程門陣列及類似裝置或其任一組合。舉例來說,處理單元720可與存儲器控制器712通信以處理與存儲器相關的操作,例如讀取、寫入及/或擦除以及上文所討論的處理器重新啟動。處理單元720可包含用以與存儲器控制器715通信的操作系統(tǒng)。舉例來說,此操作系統(tǒng)可產(chǎn)生待經(jīng)由總線740發(fā)送到存儲器控制器715的命令。舉例來說,此類命令可包含讀取/寫入命令。在一項實施方案中,管理程序可允許一個或一個以上額外操作系統(tǒng)同時運行。舉例來說,此管理程序可包括用以允許虛擬環(huán)境的資源(例如,存儲器722、處理單元720及輸入/輸出73 管理器。存儲器722可表示任一數(shù)據(jù)存儲機構。舉例來說,存儲器722可包含DRAM 724及 /或持久性存儲器726。在特定實施例中,存儲器722可包括包含持久性存儲器的至少一部分的主存儲器,如上文所描述。存儲器722還可包括可同樣包含持久性存儲器的至少一部分的高速緩沖存儲器。雖然在此實例中圖解說明為與處理單元720分離,但應理解,DRAM 724的全部或部分可提供于處理單元720內(nèi)或以其它方式與處理單元720位于同一地點/ 華禹合。根據(jù)一實施例,存儲器722的一個或一個以上部分可存儲表示如由存儲器722的特定狀態(tài)所表達的數(shù)據(jù)及/或信息的信號。舉例來說,可通過以下方式將表示數(shù)據(jù)及/或信息的電子信號“存儲”于存儲器722的一部分中影響或改變存儲器722的此類部分的狀態(tài)以將數(shù)據(jù)及/或信息表示為二進制信息(例如,1及0)。如此,在特定實施方案中,存儲器的所述部分的狀態(tài)的此改變以存儲表示數(shù)據(jù)及/或信息的信號構成存儲器722到不同狀態(tài)或事態(tài)的變換。在一項實施例中,系統(tǒng)700可包括存儲器裝置722,其包含位于所述存儲器裝置內(nèi)的存儲器單元陣列及微控制器715。舉例來說,此微控制器可類似于圖2中所展示的微控制器215。系統(tǒng)700還可包括用以托管一個或一個以上應用程序且用以發(fā)布用以存取所述存儲器單元陣列的寫入命令的處理器720及用以接收所述寫入命令的存儲器控制器712。在一項實施方案中,存儲器控制器712可位于所述存儲器裝置外部且安置于處理器720與所述存儲器裝置之間。微控制器715可接收用以存取所述存儲器單元陣列的寫入命令、確定所述寫入命令的驗證且至少部分地基于所述寫入命令的經(jīng)確定驗證而確定是否修改所述存儲器單元陣列的內(nèi)容。舉例來說,此存儲器單元陣列可包括持久性存儲器,例如PCM。舉例來說,計算裝置704可包含輸入/輸出732。輸入/輸出732表示可配置以接受或以其它方式引入人類及/或機器輸入的一個或一個以上裝置或特征,及/或可配置以遞送或以其它方式提供人類及/或機器輸出的一個或一個以上裝置或特征。通過舉例而非限制的方式,輸入/輸出裝置732可包含以操作方式配置的顯示器、揚聲器、鍵盤、鼠標、軌跡球、觸摸屏、數(shù)據(jù)端口等。雖然已圖解說明及描述了目前被視為實例性實施例的實施例,但所屬領域的技術人員將理解可做出各種其它修改且可替代等效物,此并不背離所主張的標的物。另外,可在不背離本文中所描述的中心概念的情況下做出許多修改以使特定情形適應所請求的標的物的教示。因此,打算所主張的標的物不限于所揭示的特定實施例,而是此所主張的標的物還可包含歸屬于所附權利要求書及其等效物的范圍內(nèi)的所有實施例。
      權利要求
      1.一種方法,其包括通過可由處理器存取的主存儲器來接收寫入命令,經(jīng)由第一存儲器控制器來接收所述寫入命令;確定所述寫入命令的驗證,由位于所述主存儲器內(nèi)的第二控制器來執(zhí)行所述確定;及至少部分地基于所述寫入命令的所述經(jīng)確定驗證而確定是否修改所述主存儲器的內(nèi)容。
      2.根據(jù)權利要求1所述的方法,其進一步包括維持所述主存儲器內(nèi)的加密密鑰,其中所述確定所述寫入命令的驗證包括至少部分地基于所述加密密鑰而產(chǎn)生加密簽名。
      3.根據(jù)權利要求1所述的方法,其中所述主存儲器包括持久性存儲器。
      4.根據(jù)權利要求1所述的方法,其中所述主存儲器包括動態(tài)隨機存取存儲器(DRAM)。
      5.根據(jù)權利要求1所述的方法,其進一步包括在功率損失事件期間維持存儲于所述主存儲器中的用于對應存儲器對象的特定散列值。
      6.根據(jù)權利要求1所述的方法,其中所述主存儲器包括相變存儲器(PCM)。
      7.一種存儲器裝置,其包括 存儲器單元陣列;及第一控制器,其位于所述存儲器裝置內(nèi)以從第二存儲器控制器接收寫入命令,所述寫入命令用以存取所述存儲器單元陣列; 確定所述寫入命令的驗證,所述確定由位于所述主存儲器裝置內(nèi)的所述第一控制器來執(zhí)行 ’及至少部分地基于所述寫入命令的所述經(jīng)確定驗證而確定是否修改所述存儲器單元陣列的內(nèi)容。
      8.根據(jù)權利要求7所述的存儲器裝置,其進一步包括安全塊,所述安全塊包括用以執(zhí)行安全散列算法(SHA)的電子組件。
      9.根據(jù)權利要求8所述的存儲器裝置,其進一步包括用以存儲待在所述安全散列算法中使用的加密密鑰的特定存儲器位置。
      10.根據(jù)權利要求7所述的存儲器裝置,其進一步包括用以存儲描述所述存儲器單元陣列的將為安全的一個或一個以上位置的信息的特定存儲器位置。
      11.根據(jù)權利要求7所述的存儲器裝置,其中所述存儲器單元陣列包括持久性存儲器。
      12.根據(jù)權利要求7所述的存儲器裝置,其中所述存儲器單元陣列包括動態(tài)隨機存取存儲器(DRAM)。
      13.根據(jù)權利要求7所述的存儲器裝置,其中所述存儲器單元陣列包括相變存儲器 (PCM)。
      14.一種系統(tǒng),其包括 存儲器裝置,其包括 存儲器單元陣列;及第一控制器,其位于所述存儲器裝置內(nèi);處理器,其用以托管一個或一個以上應用程序且用以發(fā)布用以存取所述存儲器單元陣列的寫入命令;及第二存儲器控制器,其用以接收所述寫入命令,其中所述第二存儲器控制器被安置于所述處理器內(nèi)或所述處理器與所述存儲器裝置之間,且其中所述第一控制器能夠接收用以存取所述存儲器單元陣列的所述寫入命令, 確定所述寫入命令的驗證,所述確定由所述第一控制器來執(zhí)行,及至少部分地基于所述寫入命令的所述經(jīng)確定驗證而確定是否修改所述存儲器單元陣列的內(nèi)容。
      15.根據(jù)權利要求14所述的系統(tǒng),其中所述存儲器裝置進一步包括安全塊,所述安全塊包括用以執(zhí)行安全散列算法(SHA)的電子組件。
      16.根據(jù)權利要求15所述的系統(tǒng),其中所述存儲器裝置進一步包括用以存儲待在所述安全散列算法中使用的一個或一個以上加密密鑰的特定存儲器位置。
      17.根據(jù)權利要求14所述的系統(tǒng),其中所述存儲器單元陣列包括持久性存儲器。
      18.根據(jù)權利要求14所述的系統(tǒng),其中所述存儲器單元陣列包括動態(tài)隨機存取存儲器 (DRAM)。
      19.根據(jù)權利要求14所述的系統(tǒng),其中所述存儲器單元陣列包括相變存儲器(PCM)。
      20.根據(jù)權利要求14所述的系統(tǒng),其中所述存儲器單元陣列包括用以存儲描述所述存儲器單元陣列的將為安全的一個或一個以上其它位置的信息的特定存儲器位置。
      21.根據(jù)權利要求14所述的系統(tǒng),其進一步包括用以提供虛擬環(huán)境的管理程序。
      全文摘要
      本文中所揭示的標的物涉及存儲器裝置及其安全性。本發(fā)明提供一種處理器主存儲器的存儲器內(nèi)容的安全保護方法,其包括通過可由處理器存取的主存儲器來接收寫入命令,經(jīng)由第一存儲器控制器來接收所述寫入命令;確定所述寫入命令的驗證,由位于所述主存儲器內(nèi)的第二控制器來執(zhí)行所述確定;及至少部分地基于所述寫入命令的所述經(jīng)確定驗證而確定是否修改所述主存儲器的內(nèi)容。通過采用上述方法的系統(tǒng)可驗證存儲器裝置的操作以防止在不經(jīng)過簽名確認過程的情況下修改及/或讀取存儲器內(nèi)容。
      文檔編號G06F12/14GK102541765SQ20111030376
      公開日2012年7月4日 申請日期2011年9月29日 優(yōu)先權日2010年9月30日
      發(fā)明者奧古斯特·坎貝爾, 約翰·呂德利克 申請人:美光科技公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1