CN111566628B - 控制存储器访问中的守卫标签检查的设备和方法 - Google Patents
控制存储器访问中的守卫标签检查的设备和方法 Download PDFInfo
- Publication number
- CN111566628B CN111566628B CN201980007779.0A CN201980007779A CN111566628B CN 111566628 B CN111566628 B CN 111566628B CN 201980007779 A CN201980007779 A CN 201980007779A CN 111566628 B CN111566628 B CN 111566628B
- Authority
- CN
- China
- Prior art keywords
- tag
- memory access
- guard
- address
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 12
- 230000004044 response Effects 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 9
- 101100456831 Caenorhabditis elegans sams-5 gene Proteins 0.000 description 12
- 238000007689 inspection Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000013519 translation Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000008713 feedback mechanism Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
- G06F12/1441—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0604—Improving or facilitating administration, e.g. storage management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0659—Command handling arrangements, e.g. command buffers, queues, command scheduling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1016—Performance improvement
- G06F2212/1024—Latency reduction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
- Executing Machine-Instructions (AREA)
- Memory System Of A Hierarchy Structure (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种设备包括用于响应于目标地址而执行标签守卫的存储器访问的存储器访问电路,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下两者进行比较:与目标地址相关的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,所述区块包括由目标地址标识的寻址位置。存储器访问电路响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对寻址位置序列的子集执行守卫标签检查。
Description
技术领域
本技术涉及数据处理领域。
背景技术
将由数据处理设备执行的软件通常可以利用高级程序语言来编写,然后根据其上将执行该软件的设备所支持的指令集架构编译成代码。例如,软件最初可以利用更高级的语言(例如,Java、C、或C++)来编写,然后编译成本地支持的指令集架构(例如,x86或)。
因为一些更高级的程序语言(例如,Java)包括用于检查与存储器访问相关的某些错误的运行时错误检测检查,所以这些程序语言被认为是存储器安全的语言。相比之下,存储器不安全的语言(例如,C和C++)并未包括这样的运行时错误检查。使用存储器不安全的语言的持续流行意味着在根据给定指令集架构的编译代码中,可能存在大量与存储器相关的错误,而可能容易受到攻击者或其他恶意方的攻击。这样的错误可能包括:
·边界违反,其中代码所供应的数组索引超出数组的合法边界;
·释放后使用错误,其中在存储器位置已解分配或已释放之后访问存储器位置;
·返回后使用,其中在从函数返回之后,对函数内使用的变量(例如,堆栈上的值)相关联的地址进行存储器访问;
·使用超出范围错误,其中变量在声明范围之外被访问;以及
·初始化前使用错误,其中在初始化变量之前访问与该变量相关联的存储器地址。
这些只是可能导致无法预测的行为并且可能为攻击者提供利用的途径的与存储器相关的错误的一些示例,因此期望在给定处理设备所支持的指令集架构内提供架构支持,以协助对某些类别的存储器错误的运行时检测。
发明内容
至少一些示例提供一种设备,包括:
存储器访问电路,用以响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与该目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,该区块包括由该目标地址标识的寻址位置,
其中,该存储器访问电路响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对该寻址位置序列的子集执行该守卫标签检查。
至少一些示例提供一种用于控制主机数据处理设备以提供供执行目标程序代码的指令执行的指令执行环境的计算机程序,包括:
存储器访问程序逻辑,用以响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与该目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,该区块包括由该目标地址标识的寻址位置,
其中,该存储器访问程序逻辑响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对该寻址位置序列的子集执行该守卫标签检查。
存储介质可以存储有上述计算机程序。存储介质可以是非暂态存储介质。
附图说明
仅通过示例的方式,并参考所附附图中图示出的实施例来进一步描述本技术,在附图中:
图1示意性地图示出数据处理设备的示例;
图2示出了包括检查地址标签是否与守卫标签匹配的标签守卫的存储器访问操作的示例;
图3是示出了执行标签守卫的存储器访问操作的方法的流程图;
图4示意性地示出了在示例系统中的存储器访问电路;
图5示意性地示出了在示例系统中的存储器访问电路的更多细节;
图6是示出了在一个示例中如何将守卫标签检查应用于存储器访问的子集的流程图;
图7是示出了在一个示例中如何将守卫标签检查应用于存储器访问的子集的流程图;并且
图8示出了支持地址转换逻辑的模拟器的示例。
具体实施方式
至少一些实施例提供一种设备,包括:
存储器访问电路,用以响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与该目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,该区块包括由该目标地址标识的寻址位置,
其中,该存储器访问电路响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对该寻址位置序列的子集执行该守卫标签检查。
用于防止上述类型的某些存储器使用错误的一种方式可以提供存储在存储器系统中的与一个或更多个存储器位置的区块相关联的守卫标签。当基于标识存储器系统中的特定寻址位置的目标地址来请求标签守卫的存储器访问时,存储器访问电路可以将以下二者进行比较:与目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储在存储器系统中的守卫标签,该区块包括由目标地址标识的寻址位置。存储器访问电路可以生成是否在守卫标签与地址标签之间检测到匹配的指示。此指示可以用于控制是否允许存储器访问成功或者控制后续操作是否能够成功,或者可以仅当允许存储器访问正常继续时被报告。
这可能有用,例如,基于存储器不安全的语言(例如,C或C++)编译代码的编译器可以在初始化存储器区域时设定代码预期访问特定值的存储器区块的守卫标签,并且可以将相应地址标签值与指向那些区块的目标地址相关联。如果发生存储器使用错误(例如,地址指针在范围之外使用,或者延伸到初始化的有效范围的边界之外),则与寻址位置相关联的守卫标签很可能无法匹配与目标地址相关联的地址标签,然后在此情况下,是否检测到匹配的指示可以用于触发一些错误处理响应或错误报告机制。所采取的特定响应可以取决于所执行的软件的特定需求或架构的特定微架构实现。因此,即使高级语言没有用于执行运行时错误检查的手段来防止存储器访问错误,但用于所编译代码的ISA可以包括用于执行这样的检查的架构特征。
然而,检查这样的守卫标签可能在执行守卫标签检查时导致一些开销,这在一些情况下可能并不被期望。当处理对寻址位置的存储器访问的目标地址时,本文所讨论的设备导致仅对一些存储器访问而不对其他存储器访问进行守卫标签检查。因此,响应于目标地址(或者可选地,指定目标地址的存储器访问请求),存储器访问电路选择一些不执行守卫标签检查且仅执行存储器访问本身的目标地址(存储器访问请求),并选择执行守卫标签检查以及存储器访问本身的其他目标地址(存储器访问请求)。因此,可对执行守卫标签检查的上述开销负担进行管理,即,可根据子集被如何定义来放大或缩小负担。此外,本技术认识到,即使并非所有访问都被检查,仍可从守卫标签检查中获益。例如,通过在足够长的时段上的运行,这可仍然足以识别需要解决与以某种方式违反了所定义的守卫标签规则的访问相关的问题。作为另一示例,可能的情况是,如本文所述的示例所列出的,布置了大量设备,并且因此来自这些大量设备的反馈可提供足够大的数据样本,该数据样本弥补了任何给定的单独设备仅对其执行的存储器访问的(可能相当小的)子集执行守卫标签检查的事实。因此,使用了一种“众包型(crowd-sourced)”反馈机制。
应理解,作为不执行守卫标签检查的那些存储器访问的子集的定义可简单地取反,即,子集可被解释为执行守卫标签检查的那些存储器访问。此观察结果适用于本文所描述的所有示例。
可以以各种方式来定义和控制不执行守卫标签检查的子集,但是在一些示例中,设备包括子集配置数据存储装置,其中,子集是由存储在子集配置数据存储装置中的子集配置数据定义的。因此,设定该子集配置数据允许控制子集的定义。
子集配置数据存储装置可以是配置寄存器。
定义子集配置数据的方式可采用多种形式,但是在一些示例中,子集配置数据定义一分数,其中,存储器访问电路响应于子集配置数据而选择性地执行非标签守卫的存储器访问,使得寻址位置序列的子集对应于该分数。该分数可以被不同地定义,但是可以例如被解释成百分比,其中,所定义的百分比的存储器访问因此是在没有守卫标签检查的情况下执行的。
在一些示例中,子集配置数据定义一整数值,其中,存储器访问电路响应于子集配置数据而对寻址位置执行非标签守卫的存储器访问,这些寻址位置在寻址位置序列中对应于该整数值的序数倍数。换句话说,子集配置数据可被描述为定义一整数n,并且存储器访问电路针对每1/n的存储器访问执行非标签守卫的存储器访问。
在一些示例中,子集配置数据定义一目标值,其中,存储器访问电路响应于子集配置数据而执行非标签守卫的存储器访问,使得寻址位置序列的子集在预定时段上在统计学上对应于该目标值。因此,存储器访问电路可被布置为收集以下两者的统计学视图:所执行的标签守卫的存储器访问的数目、所执行的非标签守卫的存储器访问的数目,并且这些数目的比率随后可影响关于是否对下一个存储器访问执行守卫标签检查的决定,以便将该比率引导至期望值。
至少一些实施例提供一种方法,包括:
响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与该目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,该区块包括由该目标地址标识的寻址位置;并且
响应于所接收的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对该寻址位置序列的子集执行该守卫标签检查。
至少一些实施例提供一种用于控制主机数据处理设备以提供供目标程序代码的指令执行的指令执行环境的计算机程序,包括:
存储器访问编程逻辑,用以响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与所述目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,该区块包括由该目标地址标识的寻址位置,
其中,该存储器访问程序逻辑响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对该寻址位置序列的子集执行该守卫标签检查。
一种存储装置介质可存储有上述的计算机程序。存储装置介质可以是非暂态存储介质。
现在参考附图来描述一些特定实施例。
图1示意性地图示出数据处理设备2的示例。应理解,这仅是设备的组件的子集的高级表示,并且该设备可以包括未图示出的许多其他组件。设备2包括处理电路4,用于响应于由指令解码器6解码的指令来执行数据处理。指令解码器6解码从指令缓存8提取的指令,以生成用于控制处理电路4执行由指令表示的相应处理操作的控制信号10。处理电路4可以包括一个或更多个执行单元,用于对存储在寄存器14中的值执行操作,以生成待写回寄存器的结果值。例如,执行单元可以包括算术/逻辑单元(ALU)、浮点单元、和/或向量处理单元,算术/逻辑单元(ALU)用于执行算术运算或逻辑运算,浮点单元用于使用浮点操作数执行运算,而向量处理单元用于对包括多个独立的数据元素的操作数执行向量运算。处理电路还包括存储器访问电路(例如,包括加载/存储单元)15,用于控制数据在寄存器14与存储器系统之间的转移。在此示例中,存储器系统包括指令缓存8、第1级(L1)数据缓存16、在数据与指令之间共享的第2级(L2)缓存17、以及主存储器18。应理解,这仅为一个示例,其他缓存层级也是可能的。提供了存储器管理单元(MMU)20,用于提供地址转换功能,以支持由加载/存储单元15触发的存储器访问。MMU具有转换后备缓冲器(TLB)22,用于缓存来自存储在存储器系统16、17、18中的页表的条目的子集。每一页表条目可以提供用于相应地址页面的地址转换映射,并且还可以指定访问控制参数(例如,指定页面为只读区域还是可读且可写的访问权限,或者指定哪些特权级别可以访问页面的访问权限)。此外,如下面更详细地讨论,页表条目可以指定本技术所使用的标签守卫控制信息,以在访问地址页面内的地址时控制是否进行守卫标签检查。
图2示意性地图示出标签守卫的存储器访问的概念。用于指代存储器系统内的存储器位置的物理地址空间可以在逻辑上划分成多个区块30,每一区块包括某个数量的可寻址位置。为了简便起见,在图2的示例中,每一区块30包括四个存储器位置,但也可以使用其他区块大小。每一区块30与相应守卫标签32相关联。与某个数量的区块30相关联的守卫标签可以聚集在一起,并存储在物理地址空间内的不同架构上可访问的存储器位置34内,或者存储在无法在架构上访问(并未映射到相同的物理地址空间)的主存储器18中提供的附加存储位置内。使用单独的非架构上可访问存储器在一些情况下可能较佳,以避免为了缓存守卫标签值而用尽数据缓存16、17中的空间,从而可能影响常规代码的性能,并且可能使得一致性管理更复杂。相较于标签必须从主存储器18访问的情况,可以在微架构中提供附加标签缓存19,用于从非架构可访问存储器缓存标签值,以实现更快的访问。哪些标签存储位置34对应于每一区块30的特定映射可以通过加载/存储单元15进行控制,并且可以硬接线或者可以是可编程的。尽管在图2中,每一标签32与物理地址的区块相关联,还可能在虚拟存储器地址空间中提供与虚拟存储器位置相关联的守卫标签32,但这可能需要针对每一存储器访问的一些附加地址转换。因此,通过使守卫标签32与物理存储器位置相关联,而可以改进性能。一般而言,守卫标签32如何与物理地址空间的相应区块30相关联完全是特定微架构实现方式的选择。一般而言,只需要能够访问和比较与存储器的给定区块相关联的守卫标签32即可。
因此,当需要进行标签守卫的存储器访问时,可以将地址标签40(其与标识待访问的寻址位置44的目标地址42相关联)与守卫标签32(其与包括寻址位置44的存储器位置30的区块相关联)进行比较。例如,在图2中,目标地址42指向存储器中的某个位置B1,该位置在图2的地址空间中标记为44。因此,与位置B的区块(包括位置B1)相关联的守卫标签B与和目标地址42相关联的地址标签40进行比较。如图2的顶部所示,地址标签40可以被确定为目标地址本身中的选定位的函数。特别地,地址标签可以由目标地址的一部分内的位确定,该部分并未用于指示要被选择为寻址位置44的具体存储器位置。例如,在一些架构中,目标地址的位的顶部部分可能总是具有某个固定值(例如,符号扩展(均为0或均为1)),因此通过利用任意标签值覆写这些未使用的位,可以利用地址标签40来标记地址。例如,特定地址标签值可以由程序员或编译器来选择。地址标签与守卫标签32可以是相对小数量的位(例如,4位),并且因此不需要在存储器内以及在目标地址内占用很多空间。提供4位的标签空间(即,标签有16个可能值)常常足够检测众多常见类型的存储器访问错误。
因此,当执行标签守卫的存储器访问时,将地址标签40与守卫标签32(它与包括寻址位置44的区块30相关联)进行比较,并且确定它们是否匹配。应注意,在图1的示例配置中,可以在加载/存储单元15与物理存储器18之间的任何地方执行比较(并且实际上可以沿着此路径分布)。然而,在此示例中,为了简单起见,比较被描述为由加载/存储单元15执行。加载/存储单元15生成匹配指示,以指示地址标签40与守卫标签32是否匹配。例如,此匹配指示可以是在地址标签40与守卫标签32之间存在不匹配的情况下生成的故障信号60,或者是指示是否存在匹配的放置于状态寄存器中的指示,或者是增加到错误报告以指示检测到错误的地址和/或触发错误的指令的指令地址的条目。
图3示出了处理标签守卫的存储器访问的流程图。触发存储器访问的指令可以指定地址标签与目标地址。如图2所示,在一些情况下,地址标签可以实际上从目标地址本身的位的子集导出,尽管在其他示例中,可以在单独的寄存器中指定。在步骤50处,遇到触发标签守卫的存储器访问的指令。作为响应,在步骤52处,存储器访问电路15触发对由目标地址标识的寻址位置44的存储器访问。此外,在步骤54处,存储器访问电路15获取存储在存储器系统中的与包括由目标地址标识的寻址位置44的存储器位置30的区块相关联的守卫标签32。在步骤56处,存储器访问电路15将地址标签40与步骤54处获取的守卫标签32进行比较。在步骤58处,由存储器访问电路15生成是否在守卫标签与地址标签之间检测到匹配的指示(例如,上文描述的任何类型的匹配/不匹配报告指示)。用于报告任何不匹配的精确指示可以随实施方式的不同而不同。
图4示意性地图示出在一个示例中的设备60的表示。存储器访问电路62接收目标地址(包括地址标签部分65)。存储器访问电路62使用目标地址64,以便以正常方式执行所需的关于存储器66的存储器访问。然而,存储器访问电路62还包括守卫标签检查电路67和子集控制电路68,并且子集控制电路68控制守卫标签检查电路67的激活(使用使能信号),使得不会对所接收的目标地址的子集执行守卫标签检查。当执行守卫标签检查时,守卫标签检查电路67以上述方式确定地址标签65和所取回的守卫标签69是否匹配。生成匹配指示以指示它们是否匹配。
图5更详细地示意性地图示出在一个示例中的设备60的存储器访问电路62的一些组件。存储器访问电路62包括子集定义寄存器70、地址计数电路72、以及控制电路74。为了定义所接收的目标地址的不执行守卫标签检查的子集,可对子集定义寄存器70的内容进行设定。这例如可以指定一分数,使得所定义的分数部分的存储器访问(使用地址计数电路72进行计数)因而无需守卫标签检查而被执行。可替代地定义整数n,使得存储器访问电路每隔n个存储器访问对一个存储器访问(在地址计数电路72中对访问进行计数)执行非标签守卫的存储器访问。存储器访问电路可被布置为收集以下两者的统计学视图:所执行的标签守卫的存储器访问的数目、所执行的非标签守卫的存储器访问的数目(见地址计数电路72),并且这些数目的比率随后可影响关于是否对下一个存储器访问进行守卫标签检查的决定,以便将该比率引导至期望值。因此,控制电路74对子集定义寄存器70和地址计数电路72进行访问,以支持其关于对于给定的目标地址是否要执行守卫标签检查的决定,该控制电路使用使能信号来将此决定对守卫标签检查电路67进行信号告知。
现在参考图6和图7的流程图来讨论控制电路74可遵循的示例处理,以便确定对于给定目标地址是否要执行守卫标签检查。
在图6中,流程开始于步骤100,在此处理等待直到接收到目标地址。如果是,则在步骤102递增地址计数。然后,在步骤104确定当前地址计数和子集定义是否意味着要执行守卫标签检查。如果应该执行,则流程进行到步骤106,在此地址计数被重置,并且在步骤108,执行守卫标签检查。然后,进行步骤110,在此执行存储器访问。然而,如果在步骤104确定了当前地址计数和子集定义意味着不应执行守卫标签检查,则流程直接进行到步骤110。应注意,该所描述的流程并不被解释为意味着必须在存储器访问之前执行守卫标签检查。它们可以以任何相应的顺序来执行。实际上,在一些示例中,守卫标签检查的结果可以用来确定是否允许存储器访问继续。最后,流程返回到步骤100以等待下一个目标地址。
在图7中,流程开始于步骤120,在此处理等待直到接收到目标地址。如果是,则在步骤122确定守卫标签检查的访问和非守卫标签检查的访问的计数(以及子集定义)是否意味着要执行守卫标签检查。如果应该执行,则流程进行到步骤124,在此守卫标签检查的访问的计数递增,并且在步骤126执行守卫标签检查。然后,进行步骤130,在此执行存储器访问。然而,如果在步骤122确定了守卫标签检查的访问和非守卫标签检查的访问的计数(以及子集定义)意味着不应该执行守卫标签检查,然后流程进行到步骤128,在此非守卫标签检查的访问的计数递增。然后,进行步骤130,在此执行存储器访问。最后,流程返回到步骤120以等待下一个目标地址。
图8图示出可以使用的模拟器实现。尽管先前描述的实施例关于用于操作支持相关技术的具体处理硬件的设备和方法来实现本案,也可以根据本文描述的实施例提供通过使用计算机程序来实现的指令执行环境。这样的计算机程序通常被称为模拟器,只要它们提供硬件架构的基于软件的实现。模拟器计算机程序的变化包括仿真器、虚拟机、模型、以及二进制转换器(包括动态二进制转换器)。通常,模拟器实现可以在主机处理器230(其可选地运行主机操作系统220)上运行,以支持模拟器程序210。在一些布置中,在硬件与所提供的指令执行环境之间和/或在相同主机处理器上提供的多个不同指令执行环境之间可能存在多层模拟。历史上,已经需要高效处理器提供以合理速度执行的模拟器实现,但是这样的方式可能在某些情况下为合理的(例如,当期望运行另一处理器本地的代码以达到兼容性目的,或者出于重复使用的原因)。例如,模拟器实现可以提供具有并未由主机处理器硬件支持的附加功能的指令执行环境,或者提供通常与不同硬件架构相关联的指令执行环境。模拟的概述在“Some Efficient Architecture Simulation Techniques(一些高效架构模拟技术)”,Robert Bedichek,Winter 1990USENIX Conference,第53页至第63页中给出。
就先前已经在模拟实施例中参考特定硬件构造或特征而描述的实施例而言,可以通过适当的软件构造或特征提供等效功能。例如,特定电路可以在模拟实施例中实现为计算机程序逻辑。类似地,存储器硬件(例如,寄存器或缓存)可以在模拟实施例中实现为软件数据结构。在先前描述的实施例中参考的硬件元件中的一者或更多者为存在于主机硬件(例如,主机处理器230)上的布置中,一些模拟实施例可以在适当时使用主机硬件。
模拟器程序210可以被存储在计算机可读存储介质212(可以是非暂态介质)上,并将程序界面(指令执行环境)提供至目标代码200(可以包括应用程序、操作系统、以及超管理器),该程序界面与由模拟器程序210建模的硬件架构的应用程序界面相同。因此,目标代码200的程序指令可以使用模拟器程序210在指令执行环境内执行,这使得实际上不具有上述设备60的硬件特征(并且更具体地为存储器访问电路62)的主机计算机230可以模仿这些特征。例如,模拟器程序210可以包括存储器访问逻辑216,用于访问寻址位置以及用于执行守卫标签检查。因此,模拟器程序210还可以包括存储器访问程序逻辑216,用于上面讨论的子集并控制是否执行守卫标签与地址标签的比较,并且报告是否在守卫标签与地址标签之间检测到任何不匹配。
简而言之,提供了一种设备,该设备包括存储器访问电路,该存储器访问电路响应于目标地址而执行标签守卫的存储器访问,该标签守卫的存储器访问包括守卫标签检查,该守卫标签检查将以下二者进行比较:与目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联存储的守卫标签,该区块包括由目标地址标识的寻址位置的进行比较。存储器访问电路响应于接收到的指定寻址位置序列的目标地址序列而执行非标签守卫的存储器访问,该非标签守卫的存储器访问不对寻址位置序列的子集执行守卫标签检查。
在本申请中,词语“被配置为”用于表示设备的元件具有能够执行所定义的操作的配置。在此上下文中,“配置”表示硬件或软件的互连的布置或方式。例如,设备可以具有提供所定义的操作的专用硬件,或者可以将处理器或其他处理设备编程为执行功能。“被配置为”并不意味着需要以任何方式改变设备元件以提供所定义的操作。
尽管本文已参考所附附图详细描述了说明性实施例,但应理解,本发明并不限于那些精确的实施例,并且本领域技术人员在不脱离由所附权利要求定义的本发明的范围的情况下可以实现各种改变、增加、和修改。例如,在不脱离本发明的范围的情况下,可以利用独立权利要求的特征对从属权利要求的特征进行各种组合。
Claims (8)
1.一种用于控制存储器访问中的守卫标签检查的设备,包括:
存储器访问电路,用以响应于目标地址而执行标签守卫的存储器访问,所述标签守卫的存储器访问包括守卫标签检查,所述守卫标签检查将以下二者进行比较:与所述目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,所述区块包括由所述目标地址标识的寻址位置,
其中:
所述存储器访问电路响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,所述非标签守卫的存储器访问不对所述寻址位置序列的子集执行所述守卫标签检查,并且
所述存储器访问电路包括地址计数电路,所述地址计数电路用于保持指示接收到的目标地址的数目的当前地址计数,并且所述存储器访问电路被配置为基于所述当前地址计数确定是否执行所述非标签守卫的存储器访问或标签守卫的存储器访问。
2.如权利要求1所述的设备,包括子集配置数据存储装置,其中,所述子集是由存储在所述子集配置数据存储装置中的子集配置数据定义的。
3.如权利要求2所述的设备,其中,所述子集配置数据存储装置是配置寄存器。
4.如权利要求2或权利要求3所述的设备,其中,所述子集配置数据定义一分数,其中,所述存储器访问电路响应于所述子集配置数据而选择性地执行所述非标签守卫的存储器访问,使得所述寻址位置序列的子集对应于所述分数。
5.如权利要求2或权利要求3所述的设备,其中,所述子集配置数据定义一整数值,其中,所述存储器访问电路响应于所述子集配置数据而对寻址位置执行非标签守卫的存储器访问,这些寻址位置在所述寻址位置序列中对应于所述整数值的序数倍数。
6.如权利要求2或权利要求3所述的设备,其中,所述子集配置数据定义一目标值,其中,所述存储器访问电路响应于所述子集配置数据而执行所述非标签守卫的存储器访问,使得所述寻址位置序列的子集在预定时段上在统计学上对应于所述目标值。
7.一种用于控制存储器访问中的守卫标签检查的方法,包括:
响应于目标地址而执行标签守卫的存储器访问,所述标签守卫的存储器访问包括守卫标签检查,所述守卫标签检查将以下二者进行比较:与所述目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,所述区块包括由所述目标地址标识的寻址位置;
响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,所述非标签守卫的存储器访问不对所述寻址位置序列的子集执行所述守卫标签检查;
保持指示接收到的目标地址的数目的当前地址计数;并且
基于所述当前地址计数确定是否执行所述非标签守卫的存储器访问或所述标签守卫的存储器访问。
8.一种计算机可读存储介质,存储有用于控制主机数据处理设备以提供供目标程序代码的指令执行的指令执行环境的计算机程序,包括:
存储器访问程序逻辑,用以响应于目标地址而执行标签守卫的存储器访问,所述标签守卫的存储器访问包括守卫标签检查,所述守卫标签检查将以下二者进行比较:与所述目标地址相关联的地址标签、与一个或更多个存储器位置构成的区块相关联地存储的守卫标签,所述区块包括由所述目标地址标识的寻址位置,
其中,所述存储器访问程序逻辑响应于所接收到的指定寻址位置序列的目标地址序列,而执行非标签守卫的存储器访问,所述非标签守卫的存储器访问不对所述寻址位置序列的子集执行所述守卫标签检查,并且
所述存储器访问程序逻辑包括地址计数程序逻辑,所述地址计数程序逻辑用于保持指示接收到的目标地址的数目的当前地址计数,并且所述存储器访问程序逻辑基于所述当前地址计数确定是否执行所述非标签守卫的存储器访问或标签守卫的存储器访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1801750.9 | 2018-02-02 | ||
| GB1801750.9A GB2570692B (en) | 2018-02-02 | 2018-02-02 | Controlling guard tag checking in memory accesses |
| PCT/GB2019/050191 WO2019150078A1 (en) | 2018-02-02 | 2019-01-23 | Controlling guard tag checking in memory accesses |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111566628A CN111566628A (zh) | 2020-08-21 |
| CN111566628B true CN111566628B (zh) | 2024-07-26 |
Family
ID=61730975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980007779.0A Active CN111566628B (zh) | 2018-02-02 | 2019-01-23 | 控制存储器访问中的守卫标签检查的设备和方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US11397541B2 (zh) |
| EP (1) | EP3746900B1 (zh) |
| JP (1) | JP7349437B2 (zh) |
| KR (1) | KR20200116473A (zh) |
| CN (1) | CN111566628B (zh) |
| GB (1) | GB2570692B (zh) |
| IL (1) | IL275873B2 (zh) |
| TW (1) | TWI787451B (zh) |
| WO (1) | WO2019150078A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2578924B (en) | 2018-11-14 | 2021-09-29 | Advanced Risc Mach Ltd | An apparatus and method for controlling memory accesses |
| US10855529B2 (en) * | 2018-11-26 | 2020-12-01 | Stmicroelectronics Application Gmbh | Processing system, related integrated circuit, device and method |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10228421A (ja) * | 1997-02-14 | 1998-08-25 | Nec Ic Microcomput Syst Ltd | メモリアクセス制御回路 |
| TWI332626B (en) | 2007-02-01 | 2010-11-01 | Te An Wang | A reducing btb target address field bits method |
| GB2460393B (en) * | 2008-02-29 | 2012-03-28 | Advanced Risc Mach Ltd | A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry |
| US8656121B2 (en) * | 2011-05-17 | 2014-02-18 | International Business Machines Corporation | Facilitating data coherency using in-memory tag bits and tag test instructions |
| JP5541275B2 (ja) * | 2011-12-28 | 2014-07-09 | 富士通株式会社 | 情報処理装置および不正アクセス防止方法 |
| US9448867B2 (en) * | 2011-12-31 | 2016-09-20 | Intel Corporation | Processor that detects when system management mode attempts to reach program code outside of protected space |
| US20130275699A1 (en) * | 2012-03-23 | 2013-10-17 | Hicamp Systems, Inc. | Special memory access path with segment-offset addressing |
| GB2522906B (en) * | 2014-02-10 | 2021-07-14 | Advanced Risc Mach Ltd | Region identifying operation for identifying a region of a memory attribute unit corresponding to a target memory address |
| EP3474148B1 (en) * | 2014-07-23 | 2019-12-04 | GrammaTech, Inc. | Systems and/or methods for automatically protecting against memory corruption vulnerabilities |
| US9619313B2 (en) * | 2015-06-19 | 2017-04-11 | Intel Corporation | Memory write protection for memory corruption detection architectures |
| GB2544315B (en) | 2015-11-12 | 2018-02-14 | Advanced Risc Mach Ltd | An apparatus and method for controlling use of bounded pointers |
| US10162694B2 (en) * | 2015-12-21 | 2018-12-25 | Intel Corporation | Hardware apparatuses and methods for memory corruption detection |
| GB2549511B (en) * | 2016-04-20 | 2019-02-13 | Advanced Risc Mach Ltd | An apparatus and method for performing operations on capability metadata |
-
2018
- 2018-02-02 GB GB1801750.9A patent/GB2570692B/en active Active
-
2019
- 2019-01-23 US US16/647,742 patent/US11397541B2/en active Active
- 2019-01-23 KR KR1020207023395A patent/KR20200116473A/ko not_active Application Discontinuation
- 2019-01-23 EP EP19702679.2A patent/EP3746900B1/en active Active
- 2019-01-23 IL IL275873A patent/IL275873B2/en unknown
- 2019-01-23 CN CN201980007779.0A patent/CN111566628B/zh active Active
- 2019-01-23 WO PCT/GB2019/050191 patent/WO2019150078A1/en unknown
- 2019-01-23 JP JP2020540601A patent/JP7349437B2/ja active Active
- 2019-02-01 TW TW108104111A patent/TWI787451B/zh active
Non-Patent Citations (1)
| Title |
|---|
| lack-Aware Opportunistic Monitoring for Real-Time Systems;Daniel Lo, et al.;《2014 IEEE 19th Real-Time and Embedded Technology and Applications Symposium (RTAS)》;第203-214页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3746900A1 (en) | 2020-12-09 |
| EP3746900B1 (en) | 2023-08-09 |
| IL275873A (en) | 2020-08-31 |
| TW201941064A (zh) | 2019-10-16 |
| GB2570692B (en) | 2020-09-09 |
| CN111566628A (zh) | 2020-08-21 |
| IL275873B1 (en) | 2023-11-01 |
| IL275873B2 (en) | 2024-03-01 |
| GB201801750D0 (en) | 2018-03-21 |
| US20200225872A1 (en) | 2020-07-16 |
| TWI787451B (zh) | 2022-12-21 |
| JP7349437B2 (ja) | 2023-09-22 |
| JP2021512405A (ja) | 2021-05-13 |
| KR20200116473A (ko) | 2020-10-12 |
| WO2019150078A1 (en) | 2019-08-08 |
| GB2570692A (en) | 2019-08-07 |
| US11397541B2 (en) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556996B (zh) | 控制存储器访问中的守卫标签检查 | |
| CN112639750B (zh) | 用于控制存储器存取的装置及方法 | |
| KR20230017832A (ko) | Tag 체킹 장치 및 방법 | |
| CN111566628B (zh) | 控制存储器访问中的守卫标签检查的设备和方法 | |
| CN112470134B (zh) | 数据处理装置和数据处理方法 | |
| CN117222990A (zh) | 用于使用能力约束对存储器的访问的技术 | |
| US11687464B2 (en) | Address translation in a data processing apparatus | |
| WO2023175289A1 (en) | Read-as-x property for page of memory address space | |
| CN112106029A (zh) | 用于触发动作的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |