公开(公告)号：CN119166290A

公开(公告)日：2024-12-20

申请号：CN202411331830.2

申请日：2024-09-24

Applicant: 海光信息技术股份有限公司

Inventor： 杨文成 ,  刘子行 ,  应志伟

IPC: G06F9/455 ,  G06F21/62

Abstract: 本发明实施例提供一种内存控制器、数据写入、读取方法及计算机系统，所述内存控制器，包括：请求获取模块，用于获取携带有加密虚拟机的地址空间标识的内存访问请求，以对加密虚拟机对应的安全内存空间进行数据访问操作，安全内存空间为任意分配的物理内存空间；密钥确定模块，用于根据地址空间标识确定完整性验证密钥，所述密钥确定模块由安全处理器配置；内存完整性验证信息确定模块，用于基于内存访问请求的物理访问地址、访问数据以及所述密钥确定模块确定的完整性验证密钥确定出内存完整性验证信息；内存完整性验证信息用于对安全内存空间的完整性进行验证。本发明实施例所提供的技术方案，可提高加密虚拟机的内存分配的灵活性。

公开(公告)号：CN113342735B

公开(公告)日：2024-04-16

申请号：CN202110720353.9

申请日：2021-06-28

Applicant: 海光信息技术股份有限公司

Inventor： 杨文成 ,  陈善 ,  应志伟

IPC: G06F15/78 ,  G06F9/50 ,  G06F21/60

Abstract: 本申请实施例提供一种处理器芯片及电子设备，其中处理器芯片包括：多个硬件层器件；所述多个硬件层器件包括：CPU、与所述CPU连接的安全处理器、与所述CPU和所述安全处理器连接的内存控制器、与所述CPU连接的CPU加密引擎；所述CPU具有内核态和用户态，所述内核态部署多个内核态模块，所述用户态部署多个用户态模块；所述硬件层器件被配置为：统一使用标准密码算法，以支持所述内核态模块和所述用户态模块的安全运行。本申请实施例可支持处理器芯片实现全栈安全运行。

公开(公告)号：CN113342735A

公开(公告)日：2021-09-03

申请号：CN202110720353.9

申请日：2021-06-28

Applicant: 海光信息技术股份有限公司

Inventor： 杨文成 ,  陈善 ,  应志伟

IPC: G06F15/78 ,  G06F9/50 ,  G06F21/60

Abstract: 本申请实施例提供一种处理器芯片及电子设备，其中处理器芯片包括：多个硬件层器件；所述多个硬件层器件包括：CPU、与所述CPU连接的安全处理器、与所述CPU和所述安全处理器连接的内存控制器、与所述CPU连接的CPU加密引擎；所述CPU具有内核态和用户态，所述内核态部署多个内核态模块，所述用户态部署多个用户态模块；所述硬件层器件被配置为：统一使用标准密码算法，以支持所述内核态模块和所述用户态模块的安全运行。本申请实施例可支持处理器芯片实现全栈安全运行。

公开(公告)号：CN118260745A

公开(公告)日：2024-06-28

申请号：CN202311775931.4

申请日：2023-12-21

Applicant: 海光信息技术股份有限公司

Inventor： 刘子行 ,  杨文成 ,  应志伟

IPC: G06F21/44 ,  G06F21/64 ,  G06F7/58

Abstract: 本发明实施例提供了一种设备认证方法、装置和相关设备，所述方法包括：生成目标随机数，并向主机发送所述目标随机数，以使得目标设备基于所述主机转发的目标随机数和所述目标设备的签名信息生成与所述目标设备对应的签名报告；获取所述主机转发的所述目标设备的签名报告；获取所述主机提供的所述目标设备的公钥；其中，所述公钥的来源为可信来源；验证所述签名报告中的签名信息和所述目标随机数，并向主机反馈验证结果。其中，所述方法实现了为外设设备进行设备认证，保证了设备的安全性。

公开(公告)号：CN117632811A

公开(公告)日：2024-03-01

申请号：CN202311683859.2

申请日：2023-12-08

Applicant: 海光信息技术股份有限公司

Inventor： 杨文成 ,  刘子行 ,  应志伟

IPC: G06F13/28 ,  G06F12/02 ,  G06F12/1009 ,  G06F9/455

Abstract: 本发明实施例提供一种直接存储访问请求处理方法、装置及相关设备，所述方法在向IOMMU发送的DMA请求中，包括待访问地址信息和DMA设备的标识信息，从而可以基于所述DMA设备的标识信息，确定所述DMA设备所配置的虚拟机的虚拟机标识，和，对应所述DMA设备的页表地址信息，进而发送针对所述页表地址信息所指向的外设页表的第一访问请求，以使内存控制器基于所述第一访问请求，获取所述待访问地址信息对应的系统物理地址；在接收所述待访问地址信息对应的系统物理地址后，发送包含所述系统物理地址的响应信息，以使得DMA设备进行所述系统物理地址的访问。本发明实施例提供的方案，由于外设页表基于虚拟机的密钥加密存储在内存中，保障了虚拟机的数据安全。

公开(公告)号：CN107544918B

公开(公告)日：2021-01-15

申请号：CN201710708056.6

申请日：2017-08-17

Applicant: 海光信息技术股份有限公司

Inventor： 杨文成 ,  应志伟 ,  杜朝晖

IPC: G06F12/0875 ,  G06F12/1045

Abstract: 本发明涉及一种内存页共享方法，方法包括：第一安全容器enclave主动发起共享属于它的某个安全内存页EPC，或者收到第二安全容器共享属于第一安全容器某个EPC页的请求；第一安全容器验证第二安全容器的合法性；验证通过，则获取第二安全容器的安全容器身份标签和EPC页在第二安全容器所属的进程空间中映射的虚拟地址；在EPC页对应的安全内存页属性表EPCM中建立安全容器身份标签表；在安全容器身份标签表中插入一个条目，该条目记录第二安全容器的安全容器身份标签和虚拟地址；通知操作系统建立EPC页在第二安全容器所属的进程空间中的映射页表项。通过扩展EPCM,实现多个enclave共享EPC页，同一个EPC页在不同enclave中有自己的虚拟地址，enclave访问共享EPC如同访问属于自身的EPC页一样。