【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、本专利技术总体上涉及数据处理,特别是涉及数据处理系统中的输入/输出(i/o)安全性。
2、数据处理系统可以包括多个处理元件和多个输入/输出适配器(ioa),以支持到通信网络、存储设备和/或存储网络以及外围设备的连接。在这种数据处理系统中,数据处理系统的硬件资源可以被逻辑分割成多个资源组,每个资源组由多个可能异构的操作系统实例中相应的一个进行控制。操作系统在系统固件(通常称为虚拟机监视器(vmm)或系统管理程序)的控制下,在其各自逻辑分区(lpar)中的此公共硬件平台上并发执行。因此,管理程序为每个lpar分配数据处理系统的资源的不相交子集,并且每个操作系统实例依次直接控制其不同的可分配资源集合,例如系统内存和ioa。
3、通常,数据处理系统中的ioa采用不同于用于对数据处理系统中的系统存储器进行寻址的实际地址空间的i/o(或虚拟)地址空间。因此,采用地址转换来在数据处理系统的i/o地址空间和实际地址空间之间转换地址。在至少一些较旧的现有技术数据处理系统中,i/o地址空间和实际地址空间之间的所有转换都在处理器芯片上执行。因此,可以使用i/o到实际地址转换过程将ioa限制为仅允许它们访问的实际地址的子集。
4、最近,至少一些i/o标准(例如外围组件互连express(pcie))采用了替代地址转换服务(ats),其中ioa可以请求对i/o地址进行转换,并作为响应从主机桥接收相应的实际地址。然后,ioa可以在地址转换高速缓存(atc)中高速缓存实际地址,并且随后向主机桥发出一个或多个
技术实现思路
1、在至少一个实施例中,数据处理系统提供改进的i/o安全性,同时支持用于连接设备的地址转换服务。
2、在各种实施例中,所公开的技术可以在方法、数据处理系统和/或程序产品中实现。
3、在至少一个实施例中,处理器从请求者接收包含虚拟地址的第一请求。基于所述第一请求,所述处理器确定对应于所述虚拟地址的实际地址,加密所述实际地址的至少一部分以获得加密安全实际地址,并将所述加密安全实际地址返回给请求者。基于接收到指定请求地址的第二请求,处理器解密请求地址以验证请求地址为加密安全实际地址。基于验证请求地址为加密安全实际地址,处理器允许访问由实际地址标识的数据处理系统的资源。加密安全实际地址的使用提供了改进的安全性,并且通常与基于表的实际地址验证方法相比实现上需要更少占用量。
4、在一些实施例中,请求者可以是输入/输出(i/o)适配器。例如,在一个特定实施例中,适配器可以利用外围组件互连快速地址转换服务(pcie ats)协议与处理器通信请求。在其他实施例中,请求者可以是使用虚拟地址空间的附加设备,例如加速器。
5、在一些实施例中,使用基于高级加密标准(aes)的加密对实际地址的至少一部分进行加密。在一些实施例中,交替地或附加地加密所述实际地址的至少一部分包括生成所述实际地址的所述至少一部分的散列。使用诸如aes之类的强加密技术具有提高安全性的优势,并且使用散列具有高性能的优势。
6、在一些实施例中,处理器避免加密用于指定存储器页内的地址的实际地址的低阶位。通过不对完整的实际地址(例如64位)加密,简化加密并且提高了性能。
7、在一些实施例中,可以通过在加密之前将附加数据与实际地址的至少一部分组合来进一步加强加密。在一些实施例中,附加数据可以包括来自请求者的进程地址空间标识符的位和/或来自请求者标识符的位。在一些实施例中,附加数据可替换地或附加地包括只读字段,该只读字段指示请求者对实际地址的访问是否是只读的。在一些实施例中,附加数据可以包括密钥生成字段,该密钥生成字段指定多个密钥中的哪个密钥被用于加密实际地址。
本文档来自技高网...【技术保护点】
1.一种在包括处理器的数据处理系统中进行数据处理的方法,所述方法包括:
2.如权利要求1所述的方法,其中所述接收第一请求包括接收外围组件互连快速地址转换服务(PCIe ATS)协议请求。
3.如权利要求1所述的方法,其中对所述实际地址的至少一部分进行加密包括利用基于高级加密标准(AES)的加密对所述实际地址的所述至少一部分进行加密。
4.如权利要求1所述的方法,其中加密所述实际地址的至少一部分包括生成所述实际地址的所述至少一部分的散列。
5.如权利要求1所述的方法,其中对所述实际地址的至少一部分进行加密包括避免对用于指定存储器页面内的地址的所述实际地址的低阶位进行加密。
6.如权利要求1所述的方法,还包括在所述加密之前将附加数据与所述实际地址的所述至少一部分组合。
7.如权利要求6所述的方法,其中所述附加数据包括以下集合中的至少一个:来自所述请求者的进程地址空间标识符的位和来自请求者标识符的位。
8.如权利要求6所述的方法,其中所述附加数据包括指示所述请求者对所述实际地址的访问是否是只读的只读字段
9.如权利要求6所述的方法,其中所述附加数据包括密钥生成字段,所述密钥生成字段指定多个密钥中的哪个密钥被用于加密所述实际地址。
10.一种数据处理系统,包括:
11.如权利要求10所述的数据处理系统,其中所述接收第一请求包括接收外围组件互连快速地址转换服务(PCIe ATS)协议请求。
12.如权利要求10所述的数据处理系统,其中对所述实际地址的至少一部分进行加密包括利用基于高级加密标准(AES)的加密对所述实际地址的所述至少一部分进行加密。
13.如权利要求10所述的数据处理系统,其中加密所述实际地址的至少一部分包括生成所述实际地址的所述至少一部分的散列。
14.如权利要求10所述的数据处理系统,其中对所述实际地址的至少一部分进行加密包括避免对用于指定存储器页面内的地址的所述实际地址的低阶位进行加密。
15.如权利要求10所述的数据处理系统,其中所述处理器还被配置为执行:
16.如权利要求15所述的数据处理系统,其中所述附加数据包括以下集合中的至少一个:来自所述请求者的进程地址空间标识符的位和来自请求者标识符的位。
17.如权利要求15所述的数据处理系统,其中所述附加数据包括只读字段,所述只读字段指示所述请求者对所述实际地址的访问是否是只读的。
18.如权利要求15所述的数据处理系统,其中所述附加数据包括密钥生成字段,所述密钥生成字段指定多个密钥中的哪个密钥被用于加密所述实际地址。
19.如权利要求10所述的数据处理系统,还包括:
20.一种程序产品,包括:
21.如权利要求20所述的程序产品,其中所述接收第一请求包括接收外围组件互连快速地址转换服务(PCIe ATS)协议请求。
22.如权利要求20所述的程序产品,其中对所述实际地址的至少一部分进行加密包括利用基于高级加密标准(AES)的加密对所述实际地址的所述至少一部分进行加密。
23.如权利要求20所述的程序产品,其中加密所述实际地址的至少一部分包括生成所述实际地址的所述至少一部分的散列。
24.如权利要求20所述的程序产品,其中加密所述实际地址的至少一部分包括避免加密对用于指定存储器页面内的地址的所述实际地址的低阶位进行加密。
25.如权利要求20所述的程序产品,其中所述程序代码在被执行时使所述处理器执行:
...【技术特征摘要】
【国外来华专利技术】
1.一种在包括处理器的数据处理系统中进行数据处理的方法,所述方法包括:
2.如权利要求1所述的方法,其中所述接收第一请求包括接收外围组件互连快速地址转换服务(pcie ats)协议请求。
3.如权利要求1所述的方法,其中对所述实际地址的至少一部分进行加密包括利用基于高级加密标准(aes)的加密对所述实际地址的所述至少一部分进行加密。
4.如权利要求1所述的方法,其中加密所述实际地址的至少一部分包括生成所述实际地址的所述至少一部分的散列。
5.如权利要求1所述的方法,其中对所述实际地址的至少一部分进行加密包括避免对用于指定存储器页面内的地址的所述实际地址的低阶位进行加密。
6.如权利要求1所述的方法,还包括在所述加密之前将附加数据与所述实际地址的所述至少一部分组合。
7.如权利要求6所述的方法,其中所述附加数据包括以下集合中的至少一个:来自所述请求者的进程地址空间标识符的位和来自请求者标识符的位。
8.如权利要求6所述的方法,其中所述附加数据包括指示所述请求者对所述实际地址的访问是否是只读的只读字段。
9.如权利要求6所述的方法,其中所述附加数据包括密钥生成字段,所述密钥生成字段指定多个密钥中的哪个密钥被用于加密所述实际地址。
10.一种数据处理系统,包括:
11.如权利要求10所述的数据处理系统,其中所述接收第一请求包括接收外围组件互连快速地址转换服务(pcie ats)协议请求。
12.如权利要求10所述的数据处理系统,其中对所述实际地址的至少一部分进行加密包括利用基于高级加密标准(aes)的加密对所述实际地址的所述至少一部分进行加密。
13.如权利要求10所述的数据处理系统,其中...
【专利技术属性】
技术研发人员:G·亨特,C·约翰斯,F·奥尔哈默,C·朱特拉,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。