公开(公告)号：WO2017058408A3

公开(公告)日：2017-05-26

申请号：PCT/US2016048438

申请日：2016-08-24

Applicant: INTEL CORP

Inventor： CHHABRA SIDDHARTHA ,  BHATTACHARYYA BINATA ,  MAKARAM RAGHUNANDAN ,  MORRIS BRIAN S

IPC: G06F12/14

CPC classification number: G06F12/1408 ,  G06F12/0802 ,  G06F12/1466 ,  G06F2212/1052 ,  G06F2212/402 ,  G06F2212/60 ,  H04L9/0637 ,  H04L9/30 ,  H04L9/3242

Abstract: A server, processing device and/or processor includes a processing core and a memory controller, operatively coupled to the processing core, to access data in an off-chip memory. A memory encryption engine (MEE) may be operatively coupled to the memory controller and the off-chip memory. The MEE may store non-MEE metadata bits within a modified version line corresponding to ones of a plurality of data lines stored in a protected region of the offchip memory, compute an embedded message authentication code (eMAC) using the modified version line, and detect an attempt to modify one of the non-MEE metadata bits by using the eMAC within a MEE tree walk to authenticate access to the plurality of data lines. The non-MEE metadata bits may store coherence bits that track changes to a cache line in a remote socket, poison bits that track error containment within the data lines, and possibly other metadata bits.

Abstract translation: 服务器，处理设备和/或处理器包括处理核心和存储器控制器，其可操作地耦合到处理核心以访问片外存储器中的数据。 存储器加密引擎（MEE）可以可操作地耦合到存储器控制器和片外存储器。 MEE可以将非MEE元数据比特存储在与存储在片外存储器的受保护区域中的多个数据线中的一些相对应的修改版本行中，使用修改后的版本线来计算嵌入的消息认证码（eMAC），并且检测 尝试通过使用MEE树内的eMAC来修改非MEE元数据位中的一个，步行来认证对多条数据线的访问。 非MEE元数据比特可以存储跟踪对远程套接字中的高速缓存线的改变的相干比特，跟踪数据线内的错误遏制的有毒比特以及可能的其他元数据比特。

公开(公告)号：DE102019113352A1

公开(公告)日：2019-12-24

申请号：DE102019113352

申请日：2019-05-20

Applicant: INTEL CORP

Inventor： CHHABRA SIDDHARTHA ,  LAL RESHMA ,  KIDA LUIS ,  PAPPACHAN PRADEEP

IPC: G06F21/62

Abstract: Technologien für sicheren E/A-Datentransfer umfassen eine Datenverarbeitungsvorrichtung mit einem Prozessor und einem Beschleuniger. Der Prozessor und der Beschleuniger umfassen jeweils eine Speicherverschlüsselungs-Engine. Die Datenverarbeitungsvorrichtung konfiguriert beide Speicherverschlüsselungs-Engines mit einem geteilten Verschlüsselungsschlüssel und transferiert verschlüsselte Daten von einer Quellenkomponente über eine E/A-Verbindung zu einer Zielkomponente. Die Quelle kann der Prozessor und das Ziel der Beschleuniger sein oder umgekehrt. Die Datenverarbeitungsvorrichtung kann eine kryptografische Operation mit einer der Speicherverschlüsselungs-Engines ausführen und die andere Speicherverschlüsselungs-Engine umgehen. Die Datenverarbeitungsvorrichtung kann verschlüsselte Daten aus einem Speicher der Quelle lesen, die Quellen-Speicherverschlüsselungs-Engine umgehen und die verschlüsselten Daten zu dem Ziel transferieren. Das Ziel kann verschlüsselte Daten empfangen, die Ziel-Speicherverschlüsselungs-Engine umgehen und die verschlüsselten Daten in einem Speicher des Ziels speichern. Es werden andere Ausführungsformen beschrieben und beansprucht.

公开(公告)号：DE102018115491A1

公开(公告)日：2019-03-28

申请号：DE102018115491

申请日：2018-06-27

Applicant: INTEL CORP

Inventor： NEIGER GILBERT ,  PATEL BAIJU ,  SCHOINAS IOANNIS ,  SAHITA RAVI ,  DURHAM DAVID ,  KHOSRAVI HORMUZD ,  SANTONI AMY ,  OUZIEL IDO ,  SANKARAN RAJESH ,  GERZON GIDEON ,  CHHABRA SIDDHARTHA ,  HUNTLEY BARRY

IPC: G06F21/72 ,  G06F12/14

Abstract: In einer Ausführungsform ist eine kryptographische Schaltung dazu eingerichtet, in Reaktion auf eine Leseanforderung mit einer Speicheradresse von einem ersten Agenten, eine Datenzeile mit zumindest einem verschlüsselten Abschnitt aus einem Speicher zu empfangen, eine Schlüsselkennung für einen Schlüssel des ersten Agenten aus der Datenzeile zu erhalten, den Schlüssel unter Verwendung der Schlüsselkennung zu erhalten, den zumindest verschlüsselten Abschnitt der Datenzeile unter Verwendung des Schlüssels zu entschlüsseln, und entschlüsselte Daten des zumindest verschlüsselten Abschnitts der Datenzeile an den ersten Agenten zu senden. Weitere Ausführungsformen werden beschrieben und beansprucht.

公开(公告)号：EP3207486A4

公开(公告)日：2018-05-23

申请号：EP15851143

申请日：2015-10-01

Applicant: INTEL CORP

Inventor： NARENDRA TRIVEDI ALPA ,  CHHABRA SIDDHARTHA ,  KANG XIAOZHU ,  DEWAN PRASHANT ,  SAVAGAONKAR UDAY ,  DURHAM DAVID

IPC: G06F21/53

CPC classification number: G06F21/53 ,  G06F2221/033

Abstract: Embodiments of an invention for an interface between a device and a secure processing environment are disclosed. In one embodiment, a system includes a processor, a device, and an interface plug-in. The processor includes an instruction unit and an execution unit. The instruction unit is to receive an instruction to create a secure processing environment. The execution unit is to execute an application in the secure processing environment. The device is to execute a workload for the application. The interface plug-in is to provide an interface for the device to enter the secure processing environment to execute the workload.

公开(公告)号：EP3049992A4

公开(公告)日：2017-05-03

申请号：EP14849831

申请日：2014-09-16

Applicant: INTEL CORP

Inventor： CHHABRA SIDDHARTHA ,  SAVAGAONKAR UDAY R ,  GOLDSMITH MICHAEL A ,  JOHNSON SIMON P ,  LESLIE-HURD REBEKAH M ,  MCKEEN FRANCIS X ,  NEIGER GILBERT ,  MAKARAM RAGHUNANDAN ,  ROZAS CARLOS V ,  SANTONI AMY L ,  SCARLATA VINCENT R ,  SHANBHOGUE VEDVYAS ,  SMITH WESLEY H ,  ANATI ITTAI ,  ALEXANDROVICH ILYA

IPC: G06F21/79 ,  G06F12/14

CPC classification number: G06F12/1408 ,  G06F9/45558 ,  G06F12/0808 ,  G06F12/0897 ,  G06F12/1027 ,  G06F2009/45587 ,  G06F2212/1032 ,  G06F2212/1048 ,  G06F2212/152

Abstract: Secure memory repartitioning technologies are described. A processor includes a processor core and a memory controller coupled between the processor core and main memory. The main memory includes a memory range including a section of convertible pages that are convertible to secure pages or non-secure pages. The processor core, in response to a page conversion instruction, is to determine from the instruction a convertible page in the memory range to be converted and convert the convertible page to be at least one of a secure page or a non-secure page. The memory range may also include a hardware reserved section that is convertible in response to a section conversion instruction.

Abstract translation: 描述了安全内存重新分区技术。 处理器包括处理器核心和耦合在处理器核心与主存储器之间的存储器控​​制器。 主存储器包括一个存储器范围，包括一部分可转换页面可转换为安全页面或非安全页面。 响应于页面转换指令，处理器核心根据指令确定要转换的存储器范围中的可转换页面并将可转换页面转换为安全页面或非安全页面中的至少一个。 存储器范围还可以包括响应于区段转换指令而可转换的硬件保留区段。

公开(公告)号：DE102019126125A1

公开(公告)日：2020-05-20

申请号：DE102019126125

申请日：2019-09-27

Applicant: INTEL CORP

Inventor： CHHABRA SIDDHARTHA ,  DURHAM DAVID M

IPC: G06F21/62 ,  G06F9/455

Abstract: Bei einer Ausführungsform umfasst eine Vorrichtung einen Kern zum Ausführen von Anweisungen, wobei der Kern als Reaktion auf eine erste Anweisung eine verschlüsselte Binärdatei eines Anforderers von einem Quellenort erhalten und die verschlüsselte Binärdatei an einem Zielort speichern soll. Die Vorrichtung kann ferner eine mit dem Kern gekoppelte Speicherausführungsschaltung umfassen, die als Reaktion auf eine Anforderung vom Kern und auf der Basis der ersten Anweisung mindestens einen Integritätswert für die Binärdatei erzeugen und den mindestens einen Integritätswert in Assoziation mit der Binärdatei speichern soll.

公开(公告)号：DE102019110309A1

公开(公告)日：2020-01-02

申请号：DE102019110309

申请日：2019-04-18

Applicant: INTEL CORP

Inventor： PATEL BAIJU ,  YAP KIRK ,  CHHABRA SIDDHARTHA ,  AGARWAL RAJAT

IPC: G06F12/14 ,  G06F21/50

Abstract: Es werden Techniken beschrieben, um eine kryptografische Speicherisolierung mit geringem Overhead bereitzustellen, um Angriffsschwachstellen in einer virtualisierten Mehrbenutzer-Rechenumgebung zu mindern. Speicherlese- und Speicherschreiboperationen für Zieldaten, wobei jede Operation über einen Befehl initiiert wird, der mit einer bestimmten virtuellen Maschine (VM) assoziiert ist, schließen die Generierung und/oder Validierung eines Nachrichtenauthentifizierungscodes ein, der wenigstens auf einem VM-spezifischen kryptografischen Schlüssel und einer physikalischen Speicheradresse der Zieldaten basiert. Derartige Operationen können ferner das Senden des generierten Nachrichtenauthentifizierungscodes über eine Vielzahl von Zusatzbits beinhalten, die innerhalb einer Datenzeile integriert sind, die die Zieldaten einschließt. Im Falle eines Validierungsfehlers können ein oder mehrere Fehlercodes generiert und verschiedenen Entitäten der Vertrauensdomänenarchitektur basierend auf einem Betriebsmodus der assoziierten virtuellen Maschine bereitgestellt werden.

公开(公告)号：DE102018123710A1

公开(公告)日：2019-05-16

申请号：DE102018123710

申请日：2018-09-26

Applicant: INTEL CORP

Inventor： NEIGER GILBERT ,  PATEL BAIJU ,  SAHITA RAVI ,  DURHAM DAVID ,  CHHABRA SIDDHARTHA ,  HUNTLEY BARRY ,  GERZON GIDEON

IPC: G06F21/53

Abstract: In einer öffentlichen Cloud-Umgebung wird jede Arbeitslast eines Verbrauchers/Gasts in einem Serverspeicher eines Cloud-Dienst-Anbieters (Cloud Service Provider, CSP) unter Verwendung eines vom Verbraucher bereitgestellten Schlüssels, der der Arbeitslastverwaltungssoftware des CSP nicht bekannt ist, verschlüsselt. Ein verschlüsseltes Verbraucher-/Gastarbeitslastbild wird in den Serverspeicher des CSP an einem durch die Arbeitslastverwaltungssoftware des CSP spezifizierten Speicherort geladen. Basierend auf dem vom CSP bestimmten Speicherort bestimmt die Gastarbeitslast erwartete physische Hardwareadressen, in die Speicherabbildungsstrukturen und andere Typen von Verbraucherdaten geladen werden sollen. Diese erwarteten physischen Hardwareadressen werden durch die Gastarbeitslast in einer Speicherinhaberschaftstabelle (Memory Ownership Table, MOT) spezifiziert, die verwendet wird, um zu überprüfen, dass nachfolgende vom CSP bestimmte Speicherabbildungen wie erwartet sind. Speicherinhaberschaftstabelleneinträge können auch durch den vom Verbraucher bereitgestellten Schlüssel, der dem CSP nicht bekannt ist, verschlüsselt werden.

公开(公告)号：DE102018115683A1

公开(公告)日：2019-04-04

申请号：DE102018115683

申请日：2018-06-28

Applicant: INTEL CORP

Inventor： DURHAM DAVID ,  CHHABRA SIDDHARTHA

IPC: G06F12/14 ,  G06F21/00

Abstract: Lösungen für sicheren Speicherzugriff in einer Computerplattform, die eine Mehrfachschlüssel-Verschlüsselungs- (MKE-) Engine als Teil der Speicherschnittstelle zwischen Prozessorkern(en) und Arbeitsspeicher einer Computerplattform umfasst. Der bzw. die Speicherkern(e) führen Arbeitslasten aus, wobei jede davon ihr zugewiesene Teile eines Arbeitsspeichers verwendet. Die MKE-Engine führt Schlüssel-basierte kryptographische Operationen auf Daten aus, um Teile eines Arbeitsspeichers von Arbeitslasten zu isolieren, denen diese Teile eines Arbeitsspeichers nicht zugewiesen sind. Auf einen Schlüssel-Mapping-Datenspeicher ist durch die MKE-Engine zugreifbar und dieser umfasst Zuordnungen zwischen Identifikatoren der Teile eines Arbeitsspeichers sowie entsprechenden Schlüsselidentifikationsdaten, aus denen kryptographische Schlüssel erhalten werden. Ein Schlüssel-Verfolgungsprotokoll wird durch die MKE-Engine erhalten und die MKE-Engine speichert vorübergehend Einträge im Schlüssel-Verfolgungsprotokoll, die Identifikatoren der Teile eines Arbeitsspeichers und Schlüsselidentifikationsdaten für diese Teile eines Arbeitsspeichers während der Speicherzugriffsoperationen auf diese Teile eines Arbeitsspeichers umfassen.

公开(公告)号：EP3123388A4

公开(公告)日：2017-08-23

申请号：EP15768805

申请日：2015-03-26

Applicant: INTEL CORP

Inventor： PRASHANT DEWAN ,  SENGUPTA UTTAM ,  CHHABRA SIDDHARTHA ,  DURHAM DAVID ,  KANG XIAOZHU ,  SAVAGAONKAR UDAY ,  NARENDRA TRIVEDI ALPHA

IPC: G06F21/53 ,  G06F9/455 ,  G06F21/84 ,  H04L9/32

CPC classification number: G06F21/53 ,  G06F9/45558 ,  G06F21/84 ,  G06F2009/45587 ,  G06F2213/0038 ,  H04L9/3247

Abstract: Generally, this disclosure provides systems, devices, methods and computer readable media for virtualization-based intra-block workload isolation. The system may include a virtual machine manager (VMM) module to create a secure virtualization environment or sandbox. The system may also include a processor block to load data into a first region of the sandbox and to generate a workload package based on the data. The workload package is stored in a second region of the sandbox. The system may further include an operational block to fetch and execute instructions from the workload package.

Abstract translation: 通常，本公开提供了用于基于虚拟化的块内工作负载隔离的系统，设备，方法和计算机可读介质。 该系统可以包括虚拟机管理器（VMM）模块以创建安全虚拟化环境或沙箱。 该系统还可以包括处理器块以将数据加载到沙箱的第一区域并基于该数据生成工作负载包。 工作负载包存储在沙箱的第二个区域中。 该系统可以进一步包括操作块以从工作负载包取出并执行指令。