公开(公告)号：CN107563228A

公开(公告)日：2018-01-09

申请号：CN201710657407.5

申请日：2017-08-03

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 许海波 ,  应志伟 ,  杜朝晖

IPC: G06F21/79 ,  G06F21/60 ,  G06F3/06

Abstract: 本发明提供一种内存数据加解密的方法，属于数据加密处理技术领域。所述方法包括S1、处理器模块发送密钥更新请求至加密模块，所述加密模块收到请求后产生新的密钥；S2、对内存中的每一个被加密的内存页，加密模块用旧密钥对与之对应的内存页数据解密，并使用所述新密钥分别对每一个解密后的页面数据重新加密。通过使用本发明提供的一种内存数据加解密的方法，不仅可以有效地降低针对SME技术加密密钥保持不变带来的恶意攻击，从而显著提高内存加密的安全性；而且提供了安全方案的灵活性，用户和系统可以根据需要动态更新加解密的密钥。

公开(公告)号：CN107562515A

公开(公告)日：2018-01-09

申请号：CN201710662127.3

申请日：2017-08-04

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 马振克 ,  应志伟 ,  杜朝晖

IPC: G06F9/455

Abstract: 本发明涉及一种在虚拟化技术中管理内存的方法，该方法包括：获取客户虚拟机的状态信息；获取客户虚拟机要求访问的内存物理地址；根据物理地址查询用于记录各个内存页面的访问权限属性的线性映射表，获取所属物理地址所在页面的访问权限属性；将所述状态信息和所述访问权限属性进行匹配，根据匹配结果允许或拒绝本次内存访问。实现了虚拟化中不同客户虚拟机之间的内存物理隔离，和内存加密技术相比较，省去了加密过程带来的性能下降，提高了虚拟化的性能，同时也消除了黑客对加解密算法中的侧信道攻击，提高了客户虚拟机的安全性和性能。

公开(公告)号：CN107562514B

公开(公告)日：2020-11-24

申请号：CN201710655806.8

申请日：2017-08-03

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 冯浩 ,  应志伟 ,  杜朝晖

IPC: G06F9/455

Abstract: 本发明涉及一种物理内存访问控制与隔离方法，包括：根据虚拟机中的任务发出的内存访问请求，得到该虚拟机的第一拥有者信息(VMID)、所述任务的第一任务信息(TID)。根据请求产生的虚拟地址查找系统页表，找到虚拟地址对应的物理地址。查找物理页面属性表，并获取与物理地址对应的第二拥有者信息(VMID)和第二任务信息(TID)。至少根据第一拥有者信息(VMID)、第一任务信息(TID)、第二拥有者信息(VMID)和第二任务信息(TID)，确定是否允许内存访问。本发明可以很好地解决虚拟化平台中虚拟机管理程序、虚拟机内部其他任务以及当前任务的非法代码对当前任务数据的非法访问。

公开(公告)号：CN107563226A

公开(公告)日：2018-01-09

申请号：CN201710661619.0

申请日：2017-08-04

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 买宇飞 ,  应志伟 ,  杜朝晖

IPC: G06F21/78 ,  G06F21/60 ,  G06F12/10 ,  H04L9/08

Abstract: 本发明提供一种存储器控制器、处理器模块及密钥更新方法，属于数据加密处理技术领域。所述存储器控制器包括加密模块和地址转换模块，所述地址转换模块用于根据存储器页面密钥更新请求中的虚拟地址转换成存储器页面对应的物理地址，所述加密模块通过第一密钥对所述物理地址对应的存储器页面进行解密并通过第二密钥对所述存储器页面进行加密。通过使用本发明提供的存储器控制器，降低密钥长时间不变带来的风险。

公开(公告)号：CN107526693A

公开(公告)日：2017-12-29

申请号：CN201710686477.3

申请日：2017-08-11

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 马振克 ,  黄谆 ,  应志伟 ,  杜朝晖 ,  邓育贤

IPC: G06F12/14

CPC classification number: G06F12/1483

Abstract: 本发明涉及一种基于线性映射表的内存隔离方法，包括：获取发起内存访问请求的访问设备的状态信息以及请求访问的内存的物理地址；根据物理地址查询线性映射表，该线性映射表包含若干个表项，若干个表项与以固定大小区块为单位的内存一一对应，并包含对应内存区块的安全属性；根据访问设备状态信息、物理地址和查询结果进行裁决是否允许本次内存访问。本发明通过软硬件结合的方式，能够设置任意大小和任意个数的安全内存区间，不受硬件电路的限制，提高了安全内存的灵活性；同时，通过对线性映射表的扩展，可以设置每一个安全内存区间的权限属性，用户可自定义权限属性，将安全内存进行更细粒度的划分，丰富安全内存属性，进而提高了系统的安全性。

公开(公告)号：CN107563207A

公开(公告)日：2018-01-09

申请号：CN201710662088.7

申请日：2017-08-04

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 张宗耀 ,  应志伟 ,  杜朝晖

IPC: G06F21/60 ,  G06F12/14 ,  G06F12/1009 ,  H04L9/08

Abstract: 本发明实施例涉及一种加密方法、装置及解密方法、装置，所述加密方法包括：加解密硬件接收OS发送的第一页面的物理地址和PageAttribute；在被物理地址和PageAttribute触发后，生成第一随机数；根据预存的SwapRootKey以及第一随机数，生成第一密钥和第二密钥；根据第一密钥，对第一页面进行加密，生成第一页面的加密内容；根据第二密钥、第一随机数、第二随机数、IV、第一页面的加密内容及PageAttribute,生成第一页面的MAC；其中,第一随机数、第二随机数、IV、PageAttribute、MAC及第一页面的加密内容，构成encrypt_facility_info。由此，防止页面从内存换出到Swap空间时，页面被窃取或者泄露。

公开(公告)号：CN107453866A

公开(公告)日：2017-12-08

申请号：CN201710655926.8

申请日：2017-08-03

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 应志伟 ,  杜朝晖 ,  王鹏飞

IPC: H04L9/08 ,  H04L9/28 ,  H04L9/06

CPC classification number: H04L9/0863 ,  H04L9/0618

Abstract: 本发明涉及一种对数据进行加密的方法，利用非线性算法从初始密钥产生多个轮密钥；利用数据的地址信息对所述多个轮密钥中的至少一个进行混淆，得到该地址下混淆轮密钥；使用所述混淆轮密钥对该地址内数据进行加密操作。从而使得加密数据与参与混淆的地址信息无明显的线性关系，有效的增加了数据的安全性。对轮密钥做混淆，不同地址的数据仅增加一步对轮密钥的混淆操作，减少了计算时间。

公开(公告)号：CN107368354A

公开(公告)日：2017-11-21

申请号：CN201710657661.5

申请日：2017-08-03

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 钟大江 ,  杜朝晖 ,  应志伟 ,  方之熙

IPC: G06F9/455

CPC classification number: G06F9/45558 ,  G06F2009/45583 ,  G06F2009/45587

Abstract: 本发明涉及一种虚拟机安全隔离方法，包括：获取虚拟机或虚拟机管理器所请求的内存页框物理地址，CPU运行时虚拟机标签。通过页框地址检查器查询页框属性表，得到内存页框物理地址对应的虚拟机标签。根据查询页框属性表获取的虚拟机标签,判断是否允许虚拟机或虚拟机管理器访问该内存页框。本发明能完全隔离虚拟机管理器对虚拟机物理内存访问和虚拟机之间的内存互访。如果与内存加密技术相结合，则能做到虚拟机之间或虚拟机管理器和虚拟机之间，完全的物理内存空间访问隔离同时又能对内存加密。如果单独使用，由于不需要内存加解密环节，在取得完全隔离虚拟机之间或虚拟机管理器和虚拟机之间访问的安全前提下，可以达到比AMD的SEV更好的内存访问效率。

公开(公告)号：CN107544918A

公开(公告)日：2018-01-05

申请号：CN201710708056.6

申请日：2017-08-17

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 杨文成 ,  应志伟 ,  杜朝晖

IPC: G06F12/0875 ,  G06F12/1045

Abstract: 本发明涉及一种内存页共享方法，方法包括：第一安全容器enclave主动发起共享属于它的某个安全内存页EPC，或者收到第二安全容器共享属于第一安全容器某个EPC页的请求；第一安全容器验证第二安全容器的合法性；验证通过，则获取第二安全容器的安全容器身份标签和EPC页在第二安全容器所属的进程空间中映射的虚拟地址；在EPC页对应的安全内存页属性表EPCM中建立安全容器身份标签表；在安全容器身份标签表中插入一个条目，该条目记录第二安全容器的安全容器身份标签和虚拟地址；通知操作系统建立EPC页在第二安全容器所属的进程空间中的映射页表项。通过扩展EPCM,实现多个enclave共享EPC页，同一个EPC页在不同enclave中有自己的虚拟地址，enclave访问共享EPC如同访问属于自身的EPC页一样。

公开(公告)号：CN107506313A

公开(公告)日：2017-12-22

申请号：CN201710661482.9

申请日：2017-08-04

Applicant: 致象尔微电子科技(上海)有限公司

Inventor： 邓勋 ,  应志伟 ,  杜朝晖

IPC: G06F12/0817 ,  G06F12/06

CPC classification number: G06F12/0817 ,  G06F12/0669

Abstract: 本发明涉及一种管理内存页框属性的方法，该方法包括：形成多个子页框属性表sPFAT，每个sPFAT包括一组属性项PFATe，每个属性项PFATe存储内存页框所对应的页框属性；以各个sPFAT所在的内存页框的物理起始地址为表项生成页框属性目录表PFADT；生成索引页框属性表IPFAT，所述IPFAT由所述PFADT和所述多个sPFAT组成。使得每个sPFAT分散存储在一个或多个连续物理内存页面里，使物理内存页面碎片率高的情况下减少对连续物理内存的需求。