使用可信域在虚拟化系统中提供隔离技术方案

技术编号：42386243 阅读：5 留言：0更新日期：2024-08-16 16:13

本公开的发明专利技术名称是“使用可信域在虚拟化系统中提供隔离”。实现描述了使用可信域在虚拟化系统中提供隔离。在一个实现中，处理装置包括存储器所有权表(MOT)，其针对软件访问被访问控制。处理装置还包括处理核以执行可信域资源管理器(TDRM)来管理可信域(TD)，维持可信域控制结构(TDCS)以用于管理每个TD的全局元数据，维持至少一个可信域线程控制结构(TD‑TCS)中的TD的执行状态，所述TD‑TCS针对软件访问被访问控制，以及参考MOT以获得对应于指配到TD的加密密钥的至少一个密钥标识符(密钥ID)，密钥ID允许处理装置解密响应于处理装置在TD的上下文中执行而指配到TD的存储器页，指配到TD的存储器页通过加密密钥加密。

全部详细技术资料下载

【技术实现步骤摘要】

技术介绍

1、现代处理装置采用盘加密来保护静止的数据。然而，存储器中的数据是明文的，并且容易受到攻击。攻击者可以使用各种技术，包括基于软件和硬件的总线扫描、存储器扫描、硬件探测等来从存储器中检索数据。来自存储器的此数据可以包括敏感数据，例如，隐私敏感数据、ip敏感数据，以及还包括用于文件加密或通信的密钥。在利用由云服务提供商提供的基于虚拟化的托管服务将数据和企业工作负载移动到云中的当前趋势的情况下进一步加剧了数据的暴露。

技术实现思路

【技术保护点】

1.一种设备，包括：

2.如权利要求1所述的设备，其中，所述TD控制结构要存储所述TD的加密密钥标识符。

3.如权利要求2所述的设备，其中，所述TD的所述加密密钥标识符要在所述TD的创建期间被指配到所述TD。

4.如权利要求1所述的设备，其中，所述加密密钥是与所述TD相关联的短暂密钥。

5.如权利要求1所述的设备，其中，所述第一指令的执行还要：更新数据结构以指示所述存储器页到所述TD的所述添加。

6.如权利要求1所述的设备，其中，所述处理器要支持第二指令，其中，所述第二指令的执行要为TD初始化所述TD控制结构并生成所述加密密钥。

7.如权利要求1所述的设备，其中，所述处理器要支持第三指令，其中，所述第三指令的执行要进入所述TD并从数据结构加载所述TD的保存状态。

8.一种设备，包括：

9.如权利要求8所述的设备，还包括存储器，所述存储器包含对于所述TD的状态保存区域，其中，所述状态保存区域将由指配到所述TD的所述加密密钥来保护，并且其中，在所述TD退出时，所述TD的执行状态要被保存在对

10.一种方法，包括：

11.如权利要求10所述的方法，其中，所述TD控制结构要存储所述TD的加密密钥标识符。

12.如权利要求11所述的方法，其中，所述TD的所述加密密钥标识符要在所述TD的创建期间被指配到所述TD。

13.如权利要求10所述的方法，其中，所述加密密钥是与所述TD相关联的短暂密钥。

14.如权利要求10所述的方法，其中，所述第一指令的执行还要：更新数据结构以指示所述存储器页到所述TD的所述添加。

15.如权利要求10所述的方法，其中，所述一个或多个指令还包括第二指令，其中，所述第二指令的执行要为TD初始化所述TD控制结构并生成所述加密密钥。

16.如权利要求10所述的方法，其中，所述一个或多个指令还包括第三指令，其中，所述第三指令的执行要进入所述TD并从数据结构加载所述TD的保存状态。

17.一种方法，包括：

18.如权利要求17所述的方法，还包括在存储器中包含对于所述TD的状态保存区域，其中，所述状态保存区域将由指配到所述TD的所述加密密钥来保护，并且其中，在所述TD退出时，所述TD的执行状态要被保存在对于所述TD的所述状态保存区域中。

19.一种计算装置，包括：

20.一种已存储计算机指令的计算机可读介质，所述计算机指令在计算装置上被执行时，使得所述计算装置执行如权利要求10-18中任一项所述的方法。

21.一种包括计算机指令的计算机程序产品，所述计算机指令在计算装置上被执行时，使得所述计算装置执行如权利要求10-18中任一项所述的方法。

22.一种处理装置，包括：

23.如权利要求22所述的处理装置，其中，执行所述资源管理能力以管理所述处理装置上执行的所述租户工作负载的所述处理装置要：

24.一种方法，包括：

25.至少一个机器可读介质，包括多个指令，所述多个指令响应于在计算装置上被执行而使得所述计算装置执行根据权利要求24的方法。

...

【技术特征摘要】

1.一种设备，包括：

2.如权利要求1所述的设备，其中，所述td控制结构要存储所述td的加密密钥标识符。

3.如权利要求2所述的设备，其中，所述td的所述加密密钥标识符要在所述td的创建期间被指配到所述td。

4.如权利要求1所述的设备，其中，所述加密密钥是与所述td相关联的短暂密钥。

5.如权利要求1所述的设备，其中，所述第一指令的执行还要：更新数据结构以指示所述存储器页到所述td的所述添加。

6.如权利要求1所述的设备，其中，所述处理器要支持第二指令，其中，所述第二指令的执行要为td初始化所述td控制结构并生成所述加密密钥。

7.如权利要求1所述的设备，其中，所述处理器要支持第三指令，其中，所述第三指令的执行要进入所述td并从数据结构加载所述td的保存状态。

8.一种设备，包括：

9.如权利要求8所述的设备，还包括存储器，所述存储器包含对于所述td的状态保存区域，其中，所述状态保存区域将由指配到所述td的所述加密密钥来保护，并且其中，在所述td退出时，所述td的执行状态要被保存在对于所述td的所述状态保存区域中。

10.一种方法，包括：

11.如权利要求10所述的方法，其中，所述td控制结构要存储所述td的加密密钥标识符。

12.如权利要求11所述的方法，其中，所述td的所述加密密钥标识符要在所述td的创建期间被指配到所述td。

13.如权利要求10所述的方法，其中，所述加密密钥是与所述td相关联的短暂密钥。

14.如权利...

【专利技术属性】
技术研发人员：R·L·萨希塔，B·V·帕特尔，B·E·亨特利，G·奈格，H·M·科斯拉维，I·奥齐尔，D·M·德拉姆，I·T·肖伊纳斯，S·克哈布拉，C·V·罗扎斯，G·格宗，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人