WO2019041272A1

WO2019041272A1 - 一种计算机内存数据加解密的方法及装置

Info

Publication number: WO2019041272A1
Application number: PCT/CN2017/100067
Authority: WO
Inventors: 朗诺斯弗洛里安; 杨峰; 杨伟
Original assignee: 华为技术有限公司
Priority date: 2017-08-31
Filing date: 2017-08-31
Publication date: 2019-03-07
Also published as: CN109791589B; CN109791589A

Abstract

一种计算机内存数据加解密的方法及装置，用以解决现有技术中存在的对NVDIMM中存储的所有数据进行加解密的方式会导致计算机的处理效率降低，导致读写数据的延时增大的问题。NVDIMM通过确定接收到的数据写入/读出指令中的指示位确定是否需要加解密，NVDIMM在接收到数据加/解密指令后，执行对应的加解密操作，使得处理器无需进行加解密的操作，而由NVDIMM自行进行加解密操作，减少了占用的处理器带宽，进而减少读写数据时处理器的时延，同时不需要对所有的写入或读出的数据进行加解密，不需进行额外的加解密操作，可以提供加解密操作的灵活性。

Description

一种计算机内存数据加解密的方法及装置

技术领域

本申请涉及信息技术领域，尤其涉及一种计算机内存数据加解密的方法及装置。

背景技术

动态随机存取存储器(dynamic random access memory，DRAM)是现在计算机中最常使用的存储系统。计算机的系统数据和文件信息都会保存在DRAM中，但DRAM保存数据的时间较短，为了保证数据能够在DRAM中保存较长的时间，计算机需要隔一定的时间对DRAM进行刷新，若DRAM在一定时长内没有被刷新，DRAM中存储的数据将会丢失。而当计算机掉电时也会导致DRAM中存储的数据丢失，进而可能导致计算机系统崩溃。

非易失性双列直插内存模块(non-volatile dual in-line memory module,NVDIMM)由于集成了DRAM和非易失性内存芯片，在计算机掉电的情况下，数据仍可以正常保存且不会丢失，当计算机恢复正常并开始运行后，仍能继续使用NVDIMM中存储的数据，因此可以避免计算机系统崩溃。

鉴于NVDIMM的上述优点，NVDIMM逐渐被人们所关注，为了保证NVDIMM中存储的数据安全，需要对NVDIMM中存储的数据进行加密，而现有技术中只能对存储在NVDIMM中的全部数据进行加密，且数据的加/解密操作通常由计算机中的中央处理器(central processing unit，CPU)执行，例如当计算机需要将数据写入到NVDIMM时，计算机中的CPU在写入数据时需要对将要存储在NVDIMM中的数据执行加密操作，而额外的加密操作会增加CPU带宽，使得NVDIMM中写入数据时存在延时，且增加CPU的功耗，最终降低计算机的处理效率。

综上所述，现有的对NVDIMM中存储的所有数据进行加解密的方式会导致计算机的处理效率降低，导致读写数据的延时增大。

发明内容

本申请提供一种计算机内存数据加解密的方法及装置，用以解决现有技术中存在的对NVDIMM中存储的所有数据进行加解密的方式会导致处理效率降低，导致读写数据的延时增大的问题，采用本申请的方式，NVDIMM代替计算机的处理器执行加密操作，且不需要对所有保存在NVDIMM的数据进行加解密，能够减少处理器的占用带宽，减小处理器的功耗，进而减少处理器读写数据的时延。

第一方面，本申请提供了一种计算机内存数据加密的方法，所述方法包括：处理器在确定需要将数据写入到NVDIMM时，处理器可以发送数据写入指令和待写入数据至NVDIMM，数据写入指令中可以包含有对待写入数据的加密需求，所述数据写入指令中可以包含有指示位，所述指示位用于指示对所述待写入数据是否进行加密；NVDIMM接收所述处理器发送的数据写入指令和待写入数据，根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

通过上述设计，处理器可以设置待写入数据的加密需求，并将所述需求通过数据写入指令发送给NVDIMM，由NVDIMM完成数据的加密和写入的操作，可以有效降低处理器的占用带宽，降低功耗，同时无需对所有写入NVDIMM的数据进行加密，使得加密方式更加灵活。

一种可能的设计中NVDIMM在确定需要对所述待写入数据进行加密处理后，先获取加密密钥，所述加密密钥可以由所述计算机的处理器生成并预先保存；在保存加密密钥时也可以对所述加密密钥进行加密，再保存加密后的加密密钥，之后所述NVDIMM利用所述加密密钥对所述待写入数据进行加密处理。

通过上述设计，所述加密密钥由所述处理器生成能够保证加密密钥不易被窃取，保证加密数据的安全性。

第二方面，本申请提供了一种计算机内存数据加密的方法，所述方法包括：处理器在确定需要将数据写入到NVDIMM，且需要对待写入数据进行加密时，处理器可以发送数据加密指令和待写入数据至NVDIMM，所述数据加密指令用于指示对所述待写入数据进行加密。NVDIMM接收所述处理器发送的数据加密指令和待写入数据；所述NVDIMM根据所述数据加密指令，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

通过上述设计，处理器可以设置待写入数据的加密需求，并将所述需求通过数据加密指令发送给NVDIMM，由NVDIMM完成数据的加密和写入的操作，可以有效降低处理器的占用带宽，降低功耗，同时无需对所有写入NVDIMM的数据进行加密，使得加密方式更加灵活。

一种可能的设计中，NVDIMM在需要对所述待写入数据进行加密处理后，先获取加密密钥，所述加密密钥可以由所述处理器生成并预先保存；在保存加密密钥时也可以对所述加密密钥进行加密，再保存加密后的加密密钥，之后所述NVDIMM利用所述加密密钥对所述待写入数据进行加密处理。

第三方面，本申请提供了一种计算机内存数据解密的方法，所述方法包括：处理器在确定需要从NVDIMM中读取数据时，处理器可以发送数据读出指令至NVDIMM，其中数据读取指令中可以包含有对读取的数据的解密需求，所述数据读出指令中可以包含有指示位，所述指示位用于指示对读取数据是否进行解密；NVDIMM接收所述处理器发送的数据读出指令，所述NVDIMM根据所述指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM中读取数据，对读取的所述数据进行解密，并将解密后的所述数据发送至处理器。

通过上述设计，处理器可以设置对读取的数据的解密需求，并将所述需求通过数据读出指令发送给NVDIMM，由NVDIMM完成数据的解密和读出的操作，可以有效降低处理器的带宽，降低功耗，同时无需对所有写入NVDIMM的数据进行解密，使得解密方式更加灵活。

一种可能的设计中，所述NVDIMM在确定需要对读出的所述数据进行解密处理时，先获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；在保存解密密钥时也可以对所述解密密钥进行加密，再保存加密后的解密密钥，所述NVDIMM利用所述解密密钥对读出的所述数据进行解密处理。

通过上述设计，所述解密密钥由所述处理器生成能够保证解密密钥不易被窃取，保证NVDIMM中存储的数据的安全性。

第四方面，本申请提供了一种计算机内存数据解密的方法，所述方法包括：处理器在确定需要从NVDIMM中读取数据，且需要对读取的数据进行解密时，处理器可以发送数据解密指令至NVDIMM，所述数据解密指令用于指示对读取的数据进行解密，NVDIMM接收所述处理器发送的数据解密指令；根据所述数据解密指令在所述NVDIMM中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。

通过上述设计，处理器可以设置对读取的数据的解密需求，并将所述需求通过数据解密指令发送给NVDIMM，由NVDIMM完成数据的解密和读出的操作，可以有效降低处理器的带宽，降低功耗，同时无需对所有写入NVDIMM的数据进行解密，使得解密方式更加灵活。

第五方面，本发明实施例提供了一种存储装置，所述存储装置具有实现上述方法实例中计算机内存数据加密的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的设计中，存储装置包括接收单元、处理单元和存储单元，接收单元用于接收处理器发送的数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位用于指示所述存储装置是否对所述待写入数据进行加密；接收单元将所述数据写入指令和待写入数据发送给处理单元；所述处理单元用于接收所述接收单元发来的所述数据写入指令和待写入数据，以及在根据所述数据写入指令中的指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述存储装置中所述存储单元中，所述存储单元用于存储数据。

一种可能的设计中，所述处理单元在对所述待写入数据进行加密处理时，获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；之后，所述处理单元利用所述加密密钥对所述待写入数据进行加密处理。

一种可能的设计中，所述存储装置为非易失性双列直插内存模块NVDIMM。

第六方面，本发明实施例提供了一种存储装置，所述存储装置具有实现上述方法实例中计算机内存数据加密的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的设计中，存储装置包括接收单元、处理单元和存储单元，接收单元用于接收计算机的处理器发送的数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密，将所述数据加密指令和待写入数据发送给处理单元；所述处理单元用于接收所述接收单元发来的所述数据加密指令和待写入数据，对所述待写入数据进行加密，并根据所述数据加密指令将加密后的所述待写入数据写入所述存储装置中存储单元中；所述存储单元用于存储数据。

第七方面，本发明实施例提供了一种存储装置，所述存储装置具有实现上述方法实例中计算机内存数据解密的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的设计中，存储装置包括接收单元、处理单元和存储单元。接收单元用于接收计算机的处理器发送的数据读出指令，所述数据读出指令中包含有指示位，所述指示位用于指示对读取数据是否进行解密，将数据读出指令发送给处理单元；所述处理单元用于接收所述接收单元发来的数据读出指令，在根据所述数据读出指令中指示位确定需要对所述读出数据进行解密处理后，根据所述数据读出指令从所述存储装置的存储单元中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器；所述存储单元用于存储数据。

一种可能的实施方式，所述处理单元对读取的所述数据进行解密处理时，先获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；利用所述解密密钥对读取的所述数据进行解密处理。

第八方面，本发明实施例提供了一种存储装置，所述存储装置具有实现上述方法实例中计算机内存数据解密的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的设计中，存储装置包括接收单元、处理单元和存储单元。所述接收单元用于接收计算机的处理器发送的数据解密指令，所述数据解密指令用于指示对读取的数据进行解密，将数据解密指令发送给处理单元；所述处理单元用于接收所述接收单元发来的数据解密指令，根据所述数据解密指令在所述存储装置的存储单元中读取数据；对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器；所述存储单元用于存储数据；

一种可能的设计中，所述处理单元对读取的所述数据进行解密处理时，先获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；利用所述解密密钥对读取的所述数据进行解密处理。

第九方面，本发明实施例提了一种计算机，所述计算机中包含有处理器和NVDIMM，所述处理器用于在确定需要将待写入数据写入到NVDIMM时，发送数据写入指令和待写入数据至NVDIMM，所述数据写入指令中包含有指示位，所述指示位用于指示对所述待写入数据是否进行加密；NVDIMM用于接收所述计算机的处理器发送的数据写入指令和待写入数据，在根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

一种可能的设计中，所述NVDIMM在对待写入数据进行加密时先获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；之后利用所述加密密钥对所述待写入数据进行加密处理。

第十方面，本发明实施例提了一种计算机，所述计算机中包含有处理器和NVDIMM，所述处理器，用于在确定需要将待写入数据写入到NVDIMM且需要对所述待写入数据进行加密时，发送数据加密指令和待写入数据至NVDIMM，所述数据加密指令用于指示对所述待写入数据进行加密；NVDIMM用于接收所述计算机的处理器发送的数据加密指令和待写入数据；根据所述数据加密指令，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

一种可能的设计中，所述NVDIMM对所述待写入数据进行加密处理时，先获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；再利用所述加密密钥对所述待写入数据进行加密处理。

第十一方面，本发明实施例提了一种计算机，所述计算机中包含有处理器和NVDIMM，处理器，用于在确定需要从NVDIMM中读取数据时，发送数据读取指令至NVDIMM，所述数据读出指令中包含有指示位，所述指示位用于指示所述NVDIMM对读取数据是否进行解密；NVDIMM用于接收所述处理器发送的数据读出指令，根据所述指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM中读取数据，对读取的所述数据进行解密，并将解密后的所述数据发送至处理器。

一种可能的设计中，所述NVDIMM对读取的所述数据进行解密时，先获取解密密钥，其中，所述解密密钥由所述计算机的处理器生成并预先保存；利用所述解密密钥对读出的所述数据进行解密处理。

第十二方面，本发明实施例提了一种计算机，所述计算机中包含有处理器和NVDIMM，处理器，用于在确定需要从NVDIMM中读取数据，且读取的数据需要解密时，发送数据解密指令至NVDIMM，所述数据解密指令用于指示对读取的数据进行解密；NVDIMM用于接收所述计算机的处理器发送的数据解密指令；根据所述数据解密指令在所述NVDIMM中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。

一种可能的设计中，所述NVDIMM对读取的所述数据进行解密时，具体用于：获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；利用所述解密密钥对读出的所述数据进行解密处理。

第十三方面，本申请实施例中还提供一种计算机存储介质，该存储介质中存储软件程序，该软件程序在被一个或多个处理器读取并执行时可实现第一方面、第二方面、第三方面、第四方面或上述各个方面的任意一种设计提供的方法。

第十四方面，本申请实施例中还提供一种计算机芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，使得计算机执行上述第一方面、第二方面、第三方面、第四方面或上述各个方面的任意一种设计提供的方法。

本发明实施例中，在需要写入数据时，处理器通过所述需求通过数据写入指令的指示位或数据加密指令告知NVDIMM对待写入数据的加密需求；在需要读出数据时，处理器通过所述需求通过数据读出指令的指示位或数据解密指令告知NVDIMM对读取的数据的解密需求，由NVDIMM完成数据的加/解密和读写的操作，可以有效降低处理器的占用带宽，降低功耗，同时无需对所有写入NVDIMM的数据进行加解密，使得加解密方式更加灵活。

附图说明

图1为本申请实施例提供的一种计算机的系统架构示意图；

图2为本申请实施例提供的一种页表的结构示意图；

图3为本申请实施例提供的一种确定C-bit位的方法示意图；

图4为本申请实施例提供的一种计算机内存数据加密的方法的流程图；

图5为本申请实施例提供的一种计算机内存数据加密的方法的流程图；

图6为本申请实施例提供的一种计算机内存数据解密的方法的流程图；

图7为本申请实施例提供的一种计算机内存数据解密的方法的流程图；

图8为本申请实施例提供的第一种存储装置的结构示意图；

图9为本申请实施例提供的第一种计算机的结构示意图；

图10为本申请实施例提供的第二种存储装置的结构示意图；

图11为本申请实施例提供的第二种计算机的结构示意图；

图12为本申请实施例提供的第三种存储装置的结构示意图；

图13为本申请实施例提供的第三种计算机的结构示意图；

图14为本申请实施例提供的第四种存储装置的结构示意图；

图15为本申请实施例提供的第四种计算机的结构示意图。

具体实施方式

首先，对本申请涉及的部分用语进行解释说明，以便使本领域技术人员理解。

1)、处理器，本发明实施例的处理器包括但不限于中央处理器(central processing unit，CPU)、ASIC(application specific integrated circuit，专用集成电路)、FPGA(field－programmable gate array，现场可编程门阵列)、CPLD(complex programmable logic device，复杂可编程逻辑器件)，凡是具有信息处理功能的IC电路均适用于本发明实施例。

2)、加密密钥和解密密钥，对数据进行加/解密处理时所需要的参数，加密密钥和解密密钥对应，可以相同也可以不同，取决于密钥生成算法。

3)、存储地址信息和读取地址信息，在本发明实施例中，当处理器需要将数据写入到NVDIMM时，需要在数据写入指令或数据加密指令中包含存储地址信息，以使处理器将所述数据写入到存储地址信息对应的存储区域中，存储地址信息可以为NVDIMM中存储区的物理地址信息，对应于所述NVDIMM的存储区域；在本发明实施例中，当处理器需要读取数据时，可以在数据读出指令或数据解密指令中包含有读取地址信息，以获取读取地址信息对应的存储区域中存储的数据，读取地址信息可以为NVDIMM中存储区的物理地址信息，对应于所述NVDIMM的存储区域。

4)、待读取数据和待写入数据，在本发明实施例中，当处理器需要将数据写入到NVDIMM时，可以将需要写入到NVDIMM中的数据称为待写入数据；当处理器需要读取数据时，可以将需要在NVDIMM中读取的数据称为待读取数据，所述待读取数据即为数据读出指令或数据解密指令中读取地址信息对应的存储区域中存储的数据。

5)、加密状况，在本发明实施例中，处理器或者NVDIMM中可以保存有NVDIMM中存储数据的加密状况，例如采用在页表条目中的C-bit记录，所述加密状况用于表明存储的数据是处于加密状态还是非加密状态，若处于加密状态则说明在写入所述数据时需要进行加密处理，在读取所述数据时需要进行解密处理，若为非加密状态则说明在写入所述数据时不需要进行加密处理，在读取所述数据时不需要进行解密处理。

6)、数据写入指令和数据读出指令，处理器在需要将数据写入到NVDIMM时，处理器发送给NVDIMM的指令为数据写入指令，其中可以设置指示位，指示NVDIMM对待写入数据是否进行加密，指示位可设置不同的设定值，以分别指示NVDIMM对待写入数据进行加密和NVDIMM对待写入数据不进行加密；处理器在需要从NVDIMM读取数据时，处理器发送给NVDIMM的指令为数据读出指令，其中可以设置指示位，指示NVDIMM对待读取数据是否进行解密，指示位可设置不同的设定值，以分别指示NVDIMM对待读取数据进行解密和NVDIMM对待读取数据不进行解密。

7)、数据加密指令和数据解密指令，处理器在需要将数据写入到NVDIMM，且需要对待写入数据进行加密时，处理器发送给NVDIMM的指令为数据加密指令，处理器在需要从NVDIMM读取数据，且需要对读取的数据进行解密时，处理器发送给NVDIMM的指令为数据解密指令，数据加密指令和数据解密指令为新定义的数据指令，其中可包含存储地址信息和读取地址信息，分别指示待写入数据要写入NVDIMM中的存储地址和从NVDIMM读取数据时的读取地址。

8)、多个，是指两个或两个以上。

本申请实施例方案可应用于各种装置，该装置包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如平板电脑、个人数字助理等)、小型计算机、大型计算机等。下面以计算机为例对本申请实施例提供的方案进行具体描述，下述先简单介绍计算机的具体结构组成。

参考图1所示，为本申请实施例应用的计算机100硬件结构示意图。如图1所示，计算机包括处理器110、NVDIMM120，存储器130。存储器130可用于存储软件程序以及数据，处理器110通过运行存储在存储器130中存储的软件程序以及数据，从而执行计算机的各种功能以及进行数据处理。存储器130主要包括程序存储区和数据存储区，其中，程序存储区可存储操作系统、至少一个功能所需的应用程序(比如控制计算机进入睡眠状态的功能等)等；数据存储区可存储根据计算机的使用过程所创建的数据，比如页表(page table，PT)等，在存储器130中可以保存多个页表，每个页表对应NVDIMM中一个物理存储区域。此外，存储器130可以为高速随机存取存储器，还可以为非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器110是计算机的控制中心，利用各种接口和线路连接整个计算机的各个部分，通过运行或执行存储在存储器130内的软件程序和/或数据，执行计算机的各种功能和数据处理，从而对计算机进行整体监控。处理器110包括内存管理单元(memory management unit，MMU)111、内存控制器112等，用于执行相关操作，以实现本申请实施例所提供的技术方案。

NVDIMM120中包含有译码器121、控制器122和NVDIMM存储区123，所述译码器121对处理器110发送的指令进行译码后，发送给控制器122，由控制器122执行相关操作， NVDIMM存储区123为NVDIMM中用于存储数据的区域，其中包含有非易失性存储区域和易失性存储区域(例如可以是DRAM)。

处理器110控制内存管理单元111根据存储器130中保存的页表在NVDIMM中进行写入数据或读取数据，如图2所示，为一个页表结构示意图，页表中包含有多个页表条目(page table entry，PTE)，每个页表条目中包含有页虚拟地址和页物理地址及C-bit位等信息，在本发明实施例中，内存管理单元111可以根据页表中的页表条目来实现在NVDIMM中进行写入数据操作，内存管理单元111可以设置页表条目的C-bit来表示对应NVDIMM中一个存储区域存储的数据的加密状况，例如，内存管理单元111可以设置C-bit为1表示对应NVDIMM中的一个存储区域存储的数据为加密状态；设置C-bit为0表示对应NVDIMM中的一个存储区域存储的数据为非加密状态。上述利用C-bit记录NVDIMM存储的数据的加密状态和非加密状态的方式仅是举例说明，也可以利用内存控制器112的一些紧凑结构，例如可以采用Bloom Filter(布鲁姆过滤器)记录加密状况，凡是可以记录NVDIMM存储的数据的加密状况的方式均适用于于本发明实施例。

下面以利用页表条目中的C-bit记录NVDIMM存储的数据的加密状况的方式为例分别介绍计算机在自身中的NVDIMM中存储数据和读取数据的处理过程：

1、存储数据：

第一种情况：计算机需要存储数据，且存储的数据需要进行加密。

如图3所示，当处理器确定需要存储数据，且存储的数据需要进行加密时，处理器在存储器中为需要存储的数据分配一个新的页表条目PTE，页表条目内记录数据存储的页虚拟地址和缓存块内偏移的信息，并控制内存管理单元设置新页表条目中的页表条目的C-bit为1，以表示需要对存储的数据进行加密。之后，处理器将设置的新页表条目缓存至TLB(translation lookaside buffer，转换检测缓冲区)中，在TLB中，控制内存管理单元将完成虚拟地址翻译为物理地址的操作，并确定新页表条目的C-bit是否为0或为1，根据新页表条目的C-bit的信息在对应的cacheline元数据中记录新页表条目中C-bit的信息。

内存管理单元将缓存在TLB中的页表条目写入到内存控制器中，后续在接收到缓存相干互连(cache coherent interconnect，CHI)请求中携带有C-bit的信息时，内存控制器解析所述缓存相干互连请求中的C-bit的信息，在确定C-bit为1后，内存控制器发送数据写入指令和待写入数据至NVDIMM，其中，所述数据写入指令中包含有存储地址信息和指示位，所述指示位用于指示所述NVDIMM对所述待写入数据进行加密；或内存控制器发送数据加密指令和待写入数据至NVDIMM中，所述数据加密指令用于指示所述NVDIMM对所述待写入数据进行加密。

所述NVDIMM中的译码器接收到数据写入指令或数据加密指令后，所述译码器(decoder)对数据写入指令或数据加密指令进行译码，将译码后的数据写入指令或数据加密指令发送给NVDIMM中的控制器，NVDIMM中的控制器根据译码后的数据写入指令或数据加密指令选择将待写入数据进行加密，并将加密后的待写入数据保存在数据写入指令或数据加密指令指示的存储地址信息对应的存储区域中。

第二种情况：计算机需要存储数据，且存储的数据不需要进行加密。

当处理器确定需要存储数据，且存储的数据不需要进行加密时，处理器在存储区中为需要存储的数据分配一个新的页表条目PTE，并控制内存管理单元设置新页表条目中的 C-bit为0，以表示对待存储的数据不需要加密处理。之后，处理器将设置的新页表条目缓存至TLB中，页表条目的处理操作与上述第一种情况中介绍的过程类似，此处不再赘述。

内存管理单元将缓存在TLB的新页表条目写入到内存控制器中，后续在接收到的缓存相干互连请求中携带有C-bit的信息时，内存控制器解析所述缓存相干互连请求中的C-bit的信息，在确定C-bit为0后，内存控制器发送数据写入指令和待写入数据至NVDIMM，其中，所述数据写入指令中包含有存储地址信息和指示位，所述指示位用于指示所述NVDIMM对所述待写入数据不进行加密。

所述NVDIMM中的译码器接收到数据写入指令后，所述译码器对数据写入指令进行译码，将译码后的数据写入指令发送给NVDIMM中的控制器，NVDIMM中的控制器根据译码后的数据写入指令将待写入数据直接保存在数据写入指令指示的存储地址信息对应的存储区域中。

2、读取数据：

第一种情况：计算机需要读取数据，且待读取的数据需要进行解密。

当处理器确定需要读取保存在NVDIMM中的数据时，处理器调取需要读取的数据对应的页表条目PTE，并确定调取的页表条目中的C-bit为0或为1，根据页表条目的C-bit的信息在对应的cacheline元数据记录页表条目(PTE)中C-bit的信息；内存管理单元将缓存在TLB的页表条目写入到内存控制器中，后续内存控制器在接收到的缓存相干互连请求中携带有C-bit的信息时，内存控制器解析所述缓存相干互连请求中的C-bit的信息，在确定C-bit为1后，内存控制器发送数据读出指令至NVDIMM中，所述数据读出指令中包含有读取地址信息和指示位，所述指示位指示所述NVDIMM对待读取数据进行解密；或内存控制器发送数据解密指令至NVDIMM中，所述数据解密指令指示所述NVDIMM对待读取数据进行解密。

所述NVDIMM中的译码器接收到数据读出指令后，所述译码器对数据读出指令或数据解密指令进行译码，将译码后的数据读出指令或数据解密指令发送给NVDIMM中的控制器，NVDIMM中的控制器根据译码后的数据读出指令或数据解密指令读取对应读取地址信息的存储区域中存储的数据，并对读取的数据进行解密，并将解密后的数据发送至处理器。

第二种情况：计算机需要读取数据，且待读取的数据不需要进行解密。

当处理器确定需要读取保存在NVDIMM中的数据时，处理器调取需要读取的数据对应的页表条目PTE，处理器将调取的页表条目缓存至TLB中。内存管理单元将缓存在TLB的页表条目写入到内存控制器中，内存控制器后续在接收到的缓存相干互连请求中时，内存控制器解析所述缓存相干互连请求中的C-bit的信息，在确定C-bit为0后，内存控制器发送数据读出指令至NVDIMM；所述数据读出指令中包含有读取地址信息和指示位，所述指示位指示所述NVDIMM对待读取数据不进行解密。

所述NVDIMM中的译码器接收到数据读出指令后，所述译码器对数据读出指令进行译码，将译码后的数据读出指令发送给NVDIMM中的控制器，NVDIMM中的控制器根据译码后的数据读出指令获取与读取地址信息对应的存储区域中存储的数据，并将读取的数据发送至处理器。

基于上述介绍，本申请提供一种计算机内存数据加/解密的方法及装置，用以解决现有技术中存在的对NVDIMM中存储的数据进行加解密的方式会导致计算机的处理效率降低且读写数据延迟较大的问题。其中，方法和装置是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

首先，介绍本申请实施例提供的方法，该方法适用于上述图1所示的计算机100，因此，在本申请实施例中，仅以所述计算机100为例进行描述，但是并不限制本发明实施例应用到其他类型的终端设备中。参阅图4所示，该方法的具体流程包括：

步骤401：存储装置接收所述计算机的处理器发送的数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位用于指示所述存储装置是否对所述待写入数据进行加密；

步骤402：存储装置根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述存储装置中；此外，若存储装置根据所述指示位确定不需要对所述待写入数据进行加密处理后，将所述待写入数据直接写入所述存储装置中，而无需执行加密处理。

较佳的，所述存储装置可以为NVDIMM，也可以为其他具有数据存储功能的存储装置。

下面以存储装置是NVDIMM为例进行说明，其他具有数据存储功能的存储装置也适用于本发明实施例所提供的方法。

所述数据写入指令中还可以包含有存储地址信息，用于指示所述NVDIMM将所述待写入数据存储到所述NVDIMM中与所述存储地址信息对应的存储区域中。

所述数据写入指令和待写入数据分别通过不同的总线，同时发送到NVDIMM，也可以是组装在一个消息中发送到NVDIMM，例如，所述处理器可以分别通过计算机中的指令总线发送一个消息，该消息中包括数据写入指令和待写入数据，采用同步的方式将数据写入指令和待写入数据发送至NVDIMM；也可以是采用异步的方式分别将数据写入指令和待写入数据发送至NVDIMM；所述计算机处理器在发送数据写入指令和待写入数据时，也可以将数据写入指令和待写入数据包含在一个数据包中，发送给NVDIMM。上述数据写入指令和待写入数据的发送方式仅是举例说明，凡是可以用于发送数据写入指令和待写入数据的方式均适用于本发明实施例。

当所述处理器需要写入数据、且所述待写入数据需要进行加密时，所述处理器发送数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位指示所述NVDIMM对所述待写入数据进行加密；NVDIMM在接收到所述处理器发送的数据写入指令和待写入数据后，对所述待写入数据进行加密，并根据所述数据写入指令将加密后的所述待写入数据写入所述NVDIMM中。

其中，所述指示位可以为第一设定值，所述第一设定值可以用于指示所述NVDIMM对所述待写入数据进行加密。

当所述处理器需要写入数据、且所述待写入数据不需要进行加密时，所述处理器发送数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位指示所述NVDIMM对所述待写入数据不进行加密；NVDIMM在接收到所述处理器发送的数据写入指令和待写入数据后，根据所述数据写入指令将所述待写入数据直接写入所述NVDIMM中，而无需对待写入数据执行加密处理。

其中，所述指示位可以为第二设定值，所述第二设定值可以用于指示所述NVDIMM不对所述待写入数据进行加密。

所述数据写入指令可以采用现有的数据写入指令格式，例如，DDR4接口下NVDIMM-P协议中的数据写入指令，XWRITE指令或PWRITE指令等；现有的数据写入指令中通常存在一些预留比特位(RFU)，可以将预留比特位的部分或全部作为指示位，例如DDR4接口下NVDIMM-P协议中的XWRITE指令中包括的A10/AP作为预留的比特位，就可以将A10/AP作为指示位；当NVDIMM接收到XWRITE指令或PWRITE指令时，先确定所述数据写入指令中的预留比特位是否为指示位，若所述预留比特位为指示位，在确定所述指示位指示对所述待写入数据进行加密后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

例如，在DDR4接口下的NVDIMM-P协议中的XWRITE指令中包含有预留比特位A10/AP，可以将A10/AP中的一个比特位设置为SEC bit(安全指示比特)位，用作指示位，指示所述NVDIMM是否对所述待写入数据进行加密，可以设置当SEC bit位为1时，指示所述NVDIMM对所述待写入数据进行加密，设置当SEC bit位为0时，指示所述NVDIMM对所述待写入数据不进行加密；也可以将预留比特位中的多个比特位设置为SEC bit位，用作指示位，具体指示方式可根据具体场景进行设置。

所述NVDIMM在根据指示位确定需要对所述待写入数据进行加密处理后，可以获取加密密钥，并利用所述加密密钥对所述待写入数据进行加密处理。其中，所述加密密钥可以由所述计算机的处理器生成并预先保存；所述加密密钥可以预先存储在所述NVDIMM中，也可以预先存储在计算机中的其他存储区域，例如计算机中的易失性存储器中。

为了进一步保证加密密钥的安全性，可以对加密密钥进行加密，例如通过SALT对加密密钥进行加密，加密后的加密密钥可以保存在所述NVDIMM中，也可以在计算机中的其他存储区域中，而将对加密密钥进行加密的密钥存储到另外的存储区域中，即存储到与存储有加密密钥的存储介质不同的其他存储介质上，例如，将加密后的加密密钥存储在NVDIMM的非易失性存储区域，将SALT和未加密的加密密钥存储在计算机中的易失性存储区域中。当然，为了获得更好的安全效果，可以将加密后的加密密钥、对加密密钥进行加密的密钥保存在计算机中除NVDIMM以外的存储区域中。

另一种实现方式中，所述加密密钥也可以由所述NVDIMM自己生成，但由于NVDIMM易受到攻击，可能导致加密密钥的生成方式泄露或加密密钥被获取，使得存储在NVDIMM中的数据安全性较差，为了避免加密密钥被窃取，可以在所述NVDIMM生成所述加密密钥后，对所述加密密钥进行加密，将加密后的加密密钥保存在NVDIMM中，将对加密密钥进行加密的密钥保存在计算机中除NVDIMM以外的存储区域中。

如图5所示，本发明实施例一种计算机内存数据加密的方法，该方法包括：

步骤501：存储装置接收所述计算机的处理器发送的数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密；

步骤502：存储装置根据所述数据加密指令对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述存储装置中；

所述数据加密指令中还可以包含有存储地址信息，用于指示所述NVDIMM将所述待写入数据加密后存储到所述NVDIMM中与所述存储地址信息对应的存储区域中。

所述数据加密指令和待写入数据分别通过不同的总线，同时发送到NVDIMM，也可以是组装在一个消息中发送到NVDIMM，例如，所述处理器可以分别通过计算机中的指令总线发送一个消息，该消息中包括数据加密指令和待写入数据，采用同步的方式将数据加密指令和待写入数据发送至NVDIMM；也可以是采用异步的方式分别将数据加密指令和待写入数据发送至NVDIMM；所述计算机处理器在发送数据加密指令和待写入数据时，也可以将数据加密指令和待写入数据包含在一个数据包中，发送给NVDIMM。上述数据加密指令和待写入数据的发送方式仅是举例说明，凡是可以用于发送数据写入指令和待写入数据的方式均适用于本发明实施例。

当所述处理器需要写入数据、且所述待写入数据需要进行加密时，所述处理器发送数据加密指令和待写入数据，所述数据加密指令用于指示所述NVDIMM对所述待写入数据进行加密后写入到所述NVDIMM中。NVDIMM在接收到所述处理器发送的数据加密指令和待写入数据后，对所述待写入数据进行加密，并根据所述数据加密指令将加密后的所述待写入数据写入所述NVDIMM中。

当所述处理器需要写入数据、且所述待写入数据不需要进行加密时，所述处理器可以发送现有的数据写入指令和待写入数据，现有的数据写入指令可是DDR4接口下NVDIMM-P协议中的XWRITE指令、PWRITE指令、DDR5接口下NVDIMM-P协议中的XWRITE指令、PWRITE指令等，可根据具体场景和NVDIMM的接入处理接口选择相应的数据写入指令，NVDIMM在接收到所述处理器发送的数据写入指令和待写入数据后，根据所述数据写入指令直接将所述待写入数据写入所述NVDIMM中，不需要对所述待写入数据执行加密处理。

所述数据加密指令可以是新定义的指令，采用与现有XWRITE、PWRITE的命令编码不同的编码方式，例如在DDR5接口下NVDIMM-P协议中设置S-XWRITE指令，S-PWRITE指令，用作数据加密指令，其中，S-XWRITE用于指示将待写入数据进行加密后存储在所述NVDIMM中的易失性存储区域中，S-PWRITE用于指示将待写入数据进行加密后存储在所述NVDIMM中的非易失性存储区域中。

所述NVDIMM接收到数据加密指令和待写入数据后，需要对所述待写入数据进行加密处理，首先需要获取加密密钥，之后利用所述加密密钥对所述待写入数据进行加密处理。所述加密密钥的存储和加密方式与在图4所示的实施例中所述加密密钥的存储和加密方式相同，此处不再赘述。

如图6所示，本发明实施例一种计算机内存数据解密的方法，该方法包括：

步骤601：存储装置接收所述计算机的处理器发送的数据读出指令，所述数据读出指令中包含有指示位，所述指示位用于指示所述存储装置对待读取数据是否进行解密；

步骤602：存储装置根据所述指示位确定需要对所述待读取数据进行解密处理后，根据所述数据读出指令从所述存储装置中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器；存储装置根据所述指示位确定不需要对所述待读取数据进行解密处理后，根据所述数据读出指令从所述存储装置中读取数据，并将所述读取发送至处理器。

所述数据读出指令中还可以包含有读取地址信息，用于指示所述NVDIMM读取存储在所述NVDIMM中与所述读取地址信息对应的存储区域中存储的数据。

当所述处理器需要读出数据、所述待读取数据需要进行解密时，所述处理器发送数据读出指令，所述数据读出指令中包含有指示位，所述指示位指示对待读取数据进行解密；NVDIMM在接收到所述处理器发送的数据读出指令后，根据数据读出指令读取数据，并对所述读取的数据进行解密，将解密后的所述数据发送至处理器。

其中，所述指示位可以为第三设定值，所述第三设定值可以用于指示所述NVDIMM对所述待读取数据进行解密。

当所述计算机中的处理器需要读取数据、且所述待读取数据不需要进行解密时，所述处理器发送数据读出指令，所述数据读出指令中包含有指示位，所述指示位指示对待读取数据不进行解密；NVDIMM在接收到所述处理器发送的数据读出指令后，根据数据读出指令读取数据，直接读取数据并将读取的所述数据发送至处理器。

其中，所述指示位可以为第四设定值，所述第四设定值可以用于指示对所述待读取数据不进行解密。

所述数据读出指令可以采用现有的数据读出指令格式，例如DDR4接口下NVDIMM-P协议中的数据读出指令XREAD、SREAD指令和DDR5接口下NVDIMM-P协议中的数据读出指令XREAD指令；现有的数据读出指令中通常存在一些预留比特位，可以将预留比特位作为指示位，例如DDR4接口下NVDIMM-P协议中的XREAD指令、SREAD指令中包括的A10/AP为预留比特位，可以将A10/AP作为指示位；又例如DDR5接口下NVDIMM-P协议中的数据读出指令XREAD中包含的命令/地址起始信号(Command/Address Signal Rising CLK_t)中的CA5和CA6为预留比特位，可以将CA5和CA6中的部分或全部比特位选做指示位，当NVDIMM接收到XREAD指令或SREAD指令，先确定XREAD指令或SREAD指令中的预留比特位是否为指示位，若所述预留比特位为指示位，在确定所述指示位指示所述NVDIMM对所述待读取数据进行解密后，对所述待读取数据进行解密，并将解密后的所述待读取发送至处理器。

例如，在DDR4接口下NVDIMM-P协议中的XREAD指令中包含有预留比特位A10/AP，可以将A10/AP中的一个比特位设置为SEC bit位，用作指示位，指示所述NVDIMM对所述待读取数据是否进行解密，可以设置当SEC bit位为1时，指示所述NVDIMM对所述待读取数据进行解密，设置当SEC bit位为0时，指示所述NVDIMM对所述待读取数据不进行解密。也可以将预留比特位中的多个比特位设置为SEC bit位，用作指示位，具体指示方式可根据具体场景进行设置。

所述NVDIMM在根据指示位确定需要对所述待读取数据进行解密处理后，可以获取解密密钥，并利用所述解密密钥对所述待读取数据进行解密处理。其中，所述解密密钥可以由所述计算机的处理器生成并预先保存；所述解密密钥可以预先存储在所述NVDIMM中，也可以预先存储在计算机中的其他存储区域，例如计算机中的易失性存储器中。

为了进一步保证解密密钥的安全性，可以对解密密钥进行加密，例如通过SALT对解密密钥进行加密，加密后的解密密钥可以保存在所述NVDIMM中，也可以在计算机中的其他存储区域中，而将对对解密密钥进行加密的密钥存储到另外的存储区域中，即存储到与存储有加密密钥的存储介质不同的其他存储介质上，例如，将加密后的解密密钥存储在NVDIMM的非易失性存储区域，将SALT和未加密的解密密钥存储在计算机中的易失性存储区域中。当然，为了获得更好的安全效果，可以将加密后的解密密钥、对解密密钥进行加密的密钥保存在计算机中除NVDIMM以外的存储区域中。

另一种实现方式中，所述解密密钥也可以由所述NVDIMM自己生成，但由于NVDIMM易受到攻击，可能导致解密密钥的生成方式泄露或解密密钥被获取，使得存储在NVDIMM中的数据安全性较差，为了避免解密密钥被窃取，可以在所述NVDIMM生成所述解密密钥后，对所述解密密钥进行加密，将加密后的解密密钥保存在NVDIMM中，将对解密密钥进行加密的密钥保存在计算机中除NVDIMM以外的存储区域中。

如图7所示，本发明实施例一种计算机内存数据解密的方法，该方法包括：

步骤701：存储装置接收所述计算机的处理器发送的数据解密指令，所述数据解密指令用于指示对读取的数据进行解密；

步骤702：存储装置根据所述数据解密指令读取在所述存储装置中的数据；

步骤703：存储装置对所述读取的数据进行解密处理，并将所述解密后的数据发送至处理器；

所述数据解密指令中还可以包含有读取地址信息，用于指示所述NVDIMM读取存储在所述NVDIMM中与所述读取地址信息对应的存储区域中存储的数据。

当所述处理器需要读出数据、且需要对所述待读取数据进行解密时，所述处理器发送数据解密指令，所述数据解密指令用于指示对所述待读取数据进行解密后发送至处理器。NVDIMM在接收到所述处理器发送的数据解密指令后，根据数据解密指令中的读取地址信息读取所述读取地址信息对应的存储区域中存储的数据，并对所述读取的数据进行解密，将解密后的所述数据发送至处理器。

当所述处理器需要读取数据、且不需要对所述待读取数据进行解密时，所述处理器可以发送现有的数据读出指令，现有的数据读出指令可是DDR4接口下NVDIMM-P协议中的XREAD指令、SREAD指令、DDR5接口下NVDIMM-P协议中的XREAD指令、SREAD指令等，可根据具体场景和NVDIMM接入处理接口选择相应的数据读出指令；NVDIMM在接收到所述处理器发送的数据读出指令后，根据所述数据读出指令在NVDIMM中读出数据，并将所述读出的数据直接发送至处理器，而无需对读出的数据执行解密处理。

所述数据解密指令可以是新定义的指令，采用与现有XREAD指令、SREAD命令编码不同的编码方式，例如DDR5接口下NVDIMM-P协议中设置的S-XREAD指令、S-SREAD指令，用作数据加密指令，其中，S-XREAD用于指示所述NVDIMM采用异步的方式将待读取的数据进行解密后发送至处理器，S-SREAD用于指示所述NVDIMM采用同步的方式将待读取的数据进行解密后发送至处理器。

在一种实施方式中，所述计算机中保存有所述NVDIMM中存储数据的加密状况，例如采用PTE中C-bit记录所述NVDIMM中存储数据的加密状况，当处理器需要读取数据时，所述处理器可以先确定所述NVDIMM中存储数据的加密状况中所述待读取数据是否为加密状态，若为加密状态，则所述处理器发送所述数据解密指令，否则处理器发送现有的数据读取指令即可。

在另一种实施方式中，在所述NVDIMM中存储有所述NVDIMM中存储数据的加密状况，当处理器需要读取数据时，所述处理器无需查看待读取数据的加密状况，直接发送数据解密指令，当所述NVDIMM接收到数据解密指令后，所述NVDIMM先确定保存的所述NVDIMM中存储数据的加密状况中所述待读取数据是否为加密状态，若为加密状态，则所述NVDIMM对所述待读取数据进行解密处理，否则，所述NVDIMM对所述待读取数据不进行解密处理。

所述NVDIMM在收到数据解密指令后，确定需要对所述待读取数据进行解密处理后，可以获取解密密钥，并利用所述解密密钥对所述待读取数据进行解密处理。所述解密密钥的存储和加密方式已在图6所示的实施例中描述，此处不再赘述。

如下表1所示，为本发明实施例中DDR4接口下NVDIMM-P协议中定义的数据读写指令的命令编码：

表1

表1中，CKE0、CS_n、ACT_n、RAS_n/A16、CAS_n/A15、WE_n/A14、C0_C2、BG0_BG1、BA0_BA1、A17、A12/BC_n、A13、A11、A10/AP、A9、A8、A0_A7表示数据读写指令中各个比特位的位置标识，需要说明的是，表1中只显示了数据读写指令中的部分比特位。表1中H表示高电位，L表示低点位，ADDR[39:33]表示所述数据读写指令携带的地址信息，中括号内部的数字表示NVDIMM中存储区域的地址位，WGID[7:0]表示在数据写入后将写入结果反馈给处理器时所携带的信息，以使处理器在收到包含有WID的信息时确定对应的数据已经写入，RID[7:0]表示在数据读取后将读出的数据反馈给处理器时所携带的信息，以使处理器在收到包含有RID的数据包时确定对应的读取数据；一个WID通常对应多个PWRITE指令和待写入数据，对应这个WID的最后一个PWRITE必须利用Pe＝1表示所有对应这个WID的PWRITE数据所述NVDIMM已收到。SEC表示本发明实施例在数据写入指令和数据读出指令的指示位。RFU表示数据读写指令中的预留位。

其中，DDR4接口下NVDIMM-P协议中定义的数据写入指令分别为缓冲写命令(buffered write，XWRITE)、持久性写命令(persistent write，PWRITE)；XWRITE指令用于指示NVDIMM将数据写入到NVDIMM的易失性存储区域中，PWRITE指令用于指示NVDIMM将数据写入到NVDIMM的非易失性存储区域中，保证数据能够永久性保存。

DDR4接口下NVDIMM-P协议中定义的XWRITE指令存在一些预留位，分别为A10/AP,A17,A12,A13，上述预留位均可以作为指示位，在表1中用A10/AP表示SEC bit，用作指示位。

NVDIMM接收所述计算机的处理器发送的数据写入XWRITE指令和待写入数据，所述数据写入指令中包含有安全SEC指示位，所述SEC指示位用于指示对所述待写入数据是否进行加密；

NVDIMM根据所述SEC指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中；

NVDIMM根据所述SEC指示位确定不需要对所述待写入数据进行加密处理后，将所述待写入数据写入所述NVDIMM中。

其中，DDR4接口下NVDIMM-P协议中定义的数据读出指令分别为异步读命令(transactional read，XREAD)，投机读命令(speculative read，SREAD)；XREAD指令用于指示NVDIMM采用异步的方式从NVDIMM的存储区域读取数据，SREAD指令用于指示NVDIMM采用同步的方式从NVDIMM的存储区域读取数据。

DDR4接口下NVDIMM-P协议中定义的XREAD指令中包括的预留位为A10/AP，A10/AP可以作为指示位，在表1中XREAD指令中用A10/AP表示SEC bit，用作指示位；SREAD指令的预留位为A10/AP，A10/AP可以作为指示位，在表1中SREAD指令中用A10/AP表示SEC bit，用作指示位。

NVDIMM接收所述计算机的处理器发送的数据读出XREAD指令，所述XREAD指令中包含有安全SEC指示位，所述SEC指示位用于指示所述NVDIMM对待读取数据是否进行解密；

NVDIMM根据所述SEC指示位确定需要对所述待读取数据进行解密处理后，根据XREAD指令从所述NVDIMM中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器；

NVDIMM根据所述SEC指示位确定不需要对所述待读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM中读取数据，将所述读取发送至处理器。

NVDIMM接收所述计算机的处理器发送的数据读出SREAD指令，所述SREAD指令中包含有安全SEC指示位，所述SEC指示位用于指示所述NVDIMM对待读取数据是否进行解密；

NVDIMM根据所述SEC指示位确定不需要对所述待读取数据进行解密处理后，根据所述SREAD指令从所述NVDIMM中读取数据，将所述读取发送至处理器。

需要说明的是，DDR4接口下NVDIMM-P协议下还定义了XADR指令。XADR指令是在接收到XWRITE/XREAD/SREAD/PWRITE后，采用背靠背的方式发送的，XADR指令中可以发40位的地址ADDR[39：0]和8位的RID[7：0]或者WGID[7：0]。

如下表2所示，为本发明实施例中DDR5接口下NVDIMM-P协议中定义的数据读写命令及数据加解密命令的命令编码：

表2

表2中，CS、Command/Address Signal Rising CLK_t、Command/Address Signal Falling CLK_t表示数据读写指令中各个比特位的位置标识，Command/Address Signal Rising CLK_t和Command/Address Signal Falling CLK_t分别对应CA0-CA6不同的比特位，需要说明的是，表2中只显示了数据读写指令中的部分比特位。表2中H表示高电位，L表示低点位，ADDR[11:5]表示所述数据读写指令携带的地址信息，中括号内部的数字表示NVDIMM中的存储区域的地址位，WGID[9:0]表示在数据写入后将写入结果反馈给处理器时所携带的信息，以使处理器在收到包含有WGID的信息时确定对应的数据已经写入，RID[9:0]表示在数据读取后将读出的数据反馈给处理器时所携带的信息，以使处理器在收到包含有RID的数据包时确定对应的读取数据，BL*＝L，BL表示所述突发长度，BL＝L表示突发长度是16，SEC表示本发明实施例在数据写入指令和数据读出指令的指示位。

其中，DDR5接口下NVDIMM-P协议中定义的数据写入指令分别为缓冲写命令(buffered write，XWRITE)、持久性写命令(persistent write，PWRITE)；XWRITE指令用于指示NVDIMM将数据写入到NVDIMM的易失性存储区域中，PWRITE指令用于指示NVDIMM将数据写入到NVDIMM的非易失性存储区域中，以保证数据能够永久性保存。

DDR5接口下NVDIMM-P协议中定义的XWRITE指令存在一些预留位，分别为Command/Address Signal Falling CLK_t中的CA4、CA5、CA6，上述预留位均可以作为指示位。

NVDIMM接收所述计算机的处理器发送的数据写入XWRITE指令和待写入数据，所述数据写入指令中包含有安全SEC指示位，所述SEC指示位用于指示所述NVDIMM是否对所述待写入数据进行加密；

DDR5接口下NVDIMM-P协议中存在一些预留的代码指令，在本发明实施例中可以利用预留的代码指令定义数据加密指令，在表2中，新定义的数据加密指令有安全缓冲写命令(S-XWRITE)和安全持久性写命令(S-PWRITE)，S-XWRITE指令用于指示NVDIMM对待写入数据加密后写入到NVDIMM的易失性存储区域中，S-PWRITE指令用于指示NVDIMM对待写入数据加密后写入到NVDIMM的非易失性存储区域中，以保证数据能够永久性保存。

为了区分S-XWRITE指令和XWRITE指令，在Command/Address Signal Rising CLK_t中CA0-CA6中设置不完全相同的电平，在表2中，S-XWRITE的Command/Address Signal Rising CLK_t中CA0-CA3分别设置H、H、L、L，XWRITE的Command/Address Signal Rising CLK_t中CA0-CA3分别为H、L、H、H。

为了区分S-PWRITE指令和PWRITE指令，在Command/Address Signal Rising CLK_t中CA0-CA6中设置不完全相同的电平，在表2中，S-PWRITE的Command/Address SignalRising CLK_t中CA0-CA3分别设置H、H、L、L；PWRITE的Command/Address Signal Rising CLK_t中CA0-CA3分别设置H、L、H、H。

NVDIMM接收所述计算机的处理器发送的数据加密S-XWRITE指令和待写入数据。

NVDIMM在接收到所述处理器发送的S-XWRITE指令和待写入数据后，对所述待写入数据进行加密，并根据所述S-XWRITE指令将加密后的所述待写入数据写入所述NVDIMM中。

NVDIMM接收所述计算机的处理器发送的数据加密S-PWRITE指令和待写入数据。

NVDIMM在接收到所述处理器发送的S-PWRITE指令和待写入数据后，对所述待写入数据进行加密，并根据所述S-PWRITE指令将加密后的所述待写入数据写入所述NVDIMM中。

其中，DDR5接口下NVDIMM-P协议中定义的数据读出指令分别为异步读命令(transactional read，XREAD)，投机读命令(speculative read，SREAD)；XREAD指令用于指示NVDIMM采用异步的方式从NVDIMM的存储区域读取数据，SREAD指令用于指示NVDIMM采用同步的方式从NVDIMM的存储区域读取数据。

DDR5接口下NVDIMM-P协议中定义的XREAD指令的预留位为Command/Address Signal Rising CLK_t中的CA5、CA6，上述预留位可以作为指示位，在表3中XREAD指令中用Command/Address Signal Rising CLK_t中的CA6表示SEC bit，用作指示位。

DDR5接口下NVDIMM-P协议中也存在一些预留的代码指令，在本发明实施例中可以利用这些预留的代码指令定义数据解密指令，在表2中，一种示例为新定义的数据解密指令为解密投机读命令(S-SREAD)，S-SREAD指令用于指示NVDIMM采用同步的方式从NVDIMM的存储区域读取数据并对读取的数据进行解密。

为了区分S-SREAD指令和SREAD指令，在Command/Address Signal Rising CLK_t中CA0-CA6中设置不完全相同的电平，在表2中，S-SREAD的Command/Address Signal Rising CLK_t中CA0-CA3分别设置H、H、L、L,SREADE的Command/Address Signal Rising CLK_t中CA0-CA3分别为H、L、H、H。

NVDIMM接收所述处理器发送的数据读出XREAD指令，所述XREAD指令中包含有解密SEC指示位，所述SEC指示位用于指示所述NVDIMM对待读取数据是否进行解密；

NVDIMM根据所述SEC指示位确定需要对所述待读取数据进行解密处理后，根据XREAD指令从所述NVDIMM中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器。

NVDIMM接收所述处理器发送的数据读出S-SREAD指令，所述S-SREAD指令用于指示对待读取数据进行解密；

NVDIMM根据S-SREAD指令从所述NVDIMM中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器。

需要说明的是，DDR5接口下NVDIMM-P协议下还定义了XADR指令。XADR指令是在接收到XWRITE/XREAD/SREAD/PWRITE后，采用背靠背的方式发送的，XADR指令中可以发40位的地址ADDR[39：0]和10位的RID[9：0]或者WGID[9：0]。

在一种可能的实施方式，所述处理器可以指示所述NVDIMM对所有需写入到所述NVDIMM中的数据进行加密，处理器通过配置模式寄存器的加密确定(Encryption Enable)指示所述NVDIMM是否对所有需写入到所述NVDIMM的数据进行加密，例如所述处理器配置Encryption Enable的bit位为1时，指示NVDIMM要加密所有需写入的数据，Encryption Enable的bit位为0时，指示所述NVDIMM可采用如图4、图5所示的实施例对数据进行加密。

如表3所示为DDR4接口下NVDIMM-P协议中的模式寄存器各个地址位的指示信息和对应描述。

其中在预留位A17中设置Encryption Enable的bit位为1时，用于指示NVDIMM要加密所有需写入的数据，Encryption Enable的bit位为0时，用于指示NVDIMM对所有需写入的数据均不进行加密，可根据处理器发送的数据写入指令或数据加密指令进一步再确定是否需要对待写入的数据进行加密。

表3

基于与方法实施例的同一发明构思，本发明实施例提供一种存储装置800，具体用于实现图4所述的实施例描述的方法，其中，具体实施方式可以参照图4所示的方法实施例，重复之处不再赘述，该装置的结构如图8所示，包括接收单元801、存储单元802和处理单元803，其中：

接收单元801，用于接收处理器发送的数据写入指令和待写入数据，所述数据写入指令中包含有指示位，其中，所述指示位用于指示对所述待写入数据是否进行加密；

存储单元802，用于存储数据；

处理单元803，用于接收所述接收单元801发来的所述数据写入指令和所述待写入数据，并根据所述数据写入指令中的所述指示位，确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入所述存储单元802中。

当所述处理器需要写入数据、且所述待写入数据需要进行加密时，所述处理器发送数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位指示对所述待写入数据进行加密；接收单元801接收所述处理器发送的数据写入指令和待写入数据，处理单元803对所述待写入数据进行加密，并根据所述数据写入指令将加密后的所述待写入数据写入所述存储单元802中。

其中，所述指示位可以为第一设定值，所述第一设定值可以用于指示所述处理单元803对所述待写入数据进行加密。

当所述处理器需要写入数据、且所述待写入数据不需要进行加密时，所述处理器发送数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位指示所述NVDIMM对所述待写入数据不进行加密；接收单元801接收到所述处理器发送的数据写入指令和待写入数据，处理单元803根据所述数据写入指令将所述待写入数据直接写入所述存储单元802中，而无需对待写入数据执行加密处理。

所述处理单元803在根据指示位确定需要对所述待写入数据进行加密处理后，可以获取加密密钥，并利用所述加密密钥对所述待写入数据进行加密处理。其中，所述加密密钥可以由所述计算机的处理器生成并预先保存；

接收单元801接收所述计算机的处理器发送的数据写入XWRITE指令和待写入数据，所述数据写入指令中包含有安全SEC指示位，所述SEC指示位用于指示对所述待写入数据是否进行加密；

处理单元803根据所述SEC指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述存储单元802中；

处理单元803根据所述SEC指示位确定不需要对所述待写入数据进行加密处理后，将所述待写入数据写入所述存储单元802中。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是个人计算机，手机，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

基于以上实施例，本发明实施例还提供了一种计算机，所述计算机用于实现图4所述的实施例描述的方法，其中，具体实施方式可以参照图4所示的方法实施例，重复之处不再赘述，参阅如图9所示，所述设备包括处理器901、NVDIMM902和存储器903。

本申请实施例中不限定上述处理器901、NVDIMM902和存储器903之间的具体连接介质。本申请实施例在图9中以存储器903、处理器901以及NVDIMM902之间通过总线904连接，总线在图9中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器903可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器903也可以是非易失性存储器(non-volatile memory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器903是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器903可以是上述存储器的组合。

处理器901和NVDIMM902用于实现如图4所示的图像处理的方法，其中：

处理器，用于在确定需要将待写入数据写入到NVDIMM时，发送数据写入指令和待写入数据至NVDIMM，所述数据写入指令中包含有指示位，所述指示位用于指示对所述待写入数据是否进行加密；

NVDIMM，用于接收所述处理器发送的数据写入指令和待写入数据，在根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。

所述NVDIMM在对所述待写入数据进行加密时，可先获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；再利用所述加密密钥对所述待写入数据进行加密处理。

基于与方法实施例的同一发明构思，本发明实施例提供一种存储装置1000，具体用于实现图5所述的实施例描述的方法，其中，具体实施方式可以参照图5所示的方法实施例，重复之处不再赘述，该装置的结构如图10所示，包括接收单元1001、存储单元1002和处理单元1003，其中：

接收单元1001，用于接收处理器发送的数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密；

存储单元1002，用于存储数据；

处理单元1003，用于接收所述接收单元1001发来所述数据加密指令和待写入数据，对所述待写入数据进行加密，并根据所述数据加密指令将加密后的所述待写入数据写入所述存储单元1002中。

当所述处理器需要写入数据、且所述待写入数据需要进行加密时，所述处理器发送数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密后写入到所述存储单元1002中。接收单元1001接收到所述处理器发送的数据加密指令和待写入数据，处理单元1003对所述待写入数据进行加密，并根据所述数据加密指令将加密后的所述待写入数据写入所述存储单元1002中。

当所述处理器需要写入数据、且所述待写入数据不需要进行加密时，所述处理器可以发送现有的数据写入指令和待写入数据，可根据具体场景和NVDIMM的接入处理接口选择相应的数据写入指令，接收单元1001接收所述处理器发送的数据写入指令和待写入数据，处理单元1003根据所述数据写入指令直接将所述待写入数据写入所述存储单元1002中，不需要对所述待写入数据执行加密处理。

接收单元1001接收所述计算机的处理器发送的数据加密S-XWRITE指令和待写入数据。

处理单元1003对所述待写入数据进行加密，并根据所述S-XWRITE指令将加密后的所述待写入数据写入所述NVDIMM中。

接收单元1001接收所述计算机的处理器发送的数据加密S-PWRITE指令和待写入数据。

处理单元1003对所述待写入数据进行加密，并根据所述S-PWRITE指令将加密后的所述待写入数据写入所述NVDIMM中。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是个人计算机，手机，或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

基于以上实施例，本发明实施例还提供了一种计算机，所述计算机用于实现图5所述的实施例描述的方法，其中，具体实施方式可以参照图5所示的方法实施例，重复之处不再赘述，参阅如图11所示，所述设备包括处理器1101、NVDIMM1102和存储器1103。

本申请实施例中不限定上述处理器1101、NVDIMM1102和存储器1103之间的具体连接介质。本申请实施例在图11中以存储器1103、处理器1101以及NVDIMM1102之间通过总线1104连接，总线在图11中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器1103可以是易失性存储器，例如随机存取存储器；存储器1103也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘、或者存储器1103是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1103可以是上述存储器的组合。

处理器1101和NVDIMM1102用于实现如图5所示的图像处理的方法，其中：

处理器1101，用于在确定需要将待写入数据写入到NVDIMM1102且需要对所述待写入数据进行加密时，发送数据加密指令和待写入数据至NVDIMM1102，所述数据加密指令用于指示对所述待写入数据进行加密；

NVDIMM1102，用于接收所述处理器1101发送的数据加密指令和待写入数据；根据所述数据加密指令，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM1102中。

所述NVDIMM1102对所述待写入数据进行加密处理时，具体用于：

获取加密密钥，其中，所述加密密钥由所述处理器1101生成并预先保存；

利用所述加密密钥对所述待写入数据进行加密处理。

所述NVDIMM1102在对所述待写入数据进行加密时，可先获取加密密钥，其中，所述加密密钥由所述处理器1101生成并预先保存；再利用所述加密密钥对所述待写入数据进行加密处理。

基于与方法实施例的同一发明构思，本发明实施例提供一种存储装置1200，具体用于实现图6所述的实施例描述的方法，其中，具体实施方式可以参照图6所示的方法实施例，重复之处不再赘述，该装置的结构如图12所示，包括接收单元1201、存储单元1202和处理单元1203，其中：

接收单元1201，用于接收处理器发送的数据读出指令，所述数据读出指令中包含有指示位，所述指示位用于指示对读取的数据是否进行解密；

存储单元1202，用于存储数据；

处理单元1203，用于接收所述接收单元1201发来的数据读出指令，在根据所述数据读出指令中的指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述存储单元1202中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。

当所述处理器需要读出数据、所述待读取数据需要进行解密时，所述处理器发送数据读出指令，所述数据读出指令中包含有指示位，所述指示位指示对待读取数据进行解密；接收单元1201在接收到所述处理器发送的数据读出指令后，处理单元1203根据数据读出指令读取数据，并对所述读取的数据进行解密，将解密后的所述数据发送至处理器。

其中，所述指示位可以为第三设定值，所述第三设定值可以用于指示所述处理单元1203对所述待读取数据进行解密。

当所述计算机中的处理器需要读取数据、且所述待读取数据不需要进行解密时，所述处理器发送数据读出指令，所述数据读出指令中包含有指示位，所述指示位指示对待读取数据不进行解密；接收单元1201接收到所述处理器发送的数据读出指令，处理单元1203根据数据读出指令读取数据，直接读取数据并将读取的所述数据发送至处理器。

接收单元1201接收所述计算机的处理器发送的数据读出XREAD指令，所述XREAD指令中包含有安全SEC指示位，所述SEC指示位用于指示对待读取数据是否进行解密；

处理单元1203根据所述SEC指示位确定需要对所述待读取数据进行解密处理后，根据XREAD指令从所述存储单元1202中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器；

处理单元1203根据所述SEC指示位确定不需要对所述待读取数据进行解密处理后，根据所述数据读出指令从所述存储单元1202中读取数据，将所述读取发送至处理器。

接收单元1201接收所述计算机的处理器发送的数据读出SREAD指令，所述SREAD指令中包含有安全SEC指示位，所述SEC指示位用于指示对待读取数据是否进行解密；

处理单元1203根据所述SEC指示位确定不需要对所述待读取数据进行解密处理后，根据所述SREAD指令从所述存储单元1202中读取数据，将所述读取发送至处理器。

基于以上实施例，本发明实施例还提供了一种计算机，所述计算机用于实现图6所述的实施例描述的方法，其中，具体实施方式可以参照图6所示的方法实施例，重复之处不再赘述，参阅如图13所示，所述设备包括处理器1301、NVDIMM1302和存储器1303。

本申请实施例中不限定上述处理器1301、NVDIMM1302和存储器1303之间的具体连接介质。本申请实施例在图13中以存储器1303、处理器1301以及NVDIMM1302之间通过总线1304连接，总线在图13中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器1303可以是易失性存储器，例如随机存取存储器；存储器1303也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘、或者存储器1303是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1303可以是上述存储器的组合。

处理器1301和NVDIMM1302用于实现如图6所示的图像处理的方法，其中：

处理器1301，用于在确定需要从NVDIMM1302中读取数据时，发送数据读取指令至NVDIMM1302，所述数据读出指令中包含有指示位，所述指示位用于指示对读取的数据是否进行解密；

NVDIMM1302，用于接收所述处理器1301发送的数据读出指令，在根据所述指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM1302中读取数据，对读取的所述数据进行解密，并将解密后的所述数据发送至处理器1301。

所述NVDIMM1302对读取的所述数据进行解密时，先获取解密密钥，其中，所述解密密钥由所述处理器1301生成并预先保存；之后再利用所述解密密钥对读出的所述数据进行解密处理。

基于与方法实施例的同一发明构思，本发明实施例提供一种存储装置1400，具体用于实现图7所述的实施例描述的方法，其中，具体实施方式可以参照图7所示的方法实施例，重复之处不再赘述，该装置的结构如图14所示，包括接收单元1401、存储单元1402和处理单元1403，其中：

接收单元1401，用于接收处理器发送的数据解密指令，所述数据解密指令用于指示对读取的数据进行解密；

存储单元1402，用于存储数据；

处理单元1403，用于接收所述接收单元1401发来的数据解密指令，根据所述数据解密指令在所述存储单元1402中读取数据；对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。

当所述处理器需要读出数据、且需要对所述待读取数据进行解密时，所述处理器发送数据解密指令，所述数据解密指令用于指示对所述待读取数据进行解密后发送至处理器。接收单元1401接收所述处理器发送的数据解密指令后，处理单元1403根据数据解密指令中的读取地址信息读取所述读取地址信息在存储单元1402中存储的数据，并对所述读取的数据进行解密，将解密后的所述数据发送至处理器。

当所述处理器需要读取数据、且不需要对所述待读取数据进行解密时，所述处理器可以发送现有的数据读出指令，可根据具体场景和NVDIMM接入处理接口选择相应的数据读出指令；接收单元1401接收到所述处理器发送的数据读出指令后，处理单元1403根据所述数据读出指令在存储单元1402中读出数据，并将所述读出的数据直接发送至处理器，而无需对读出的数据执行解密处理。

接收单元1401接收所述处理器发送的数据读出S-SREAD指令，所述S-SREAD指令用于指示对待读取数据进行解密；

处理单元1403根据S-SREAD指令从所述存储单元1402中读取数据，对所述读取数据进行解密，并将解密后的所述读取发送至处理器。

基于以上实施例，本发明实施例还提供了一种计算机，所述计算机用于实现图7所述的实施例描述的方法，其中，具体实施方式可以参照图7所示的方法实施例，重复之处不再赘述，参阅如图15所示，所述设备包括处理器1501、NVDIMM1502和存储器1503。

本申请实施例中不限定上述处理器1501、NVDIMM1502和存储器1503之间的具体连接介质。本申请实施例在图15中以存储器1503、处理器1501以及NVDIMM1502之间通过总线1504连接，总线在图15中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器1503可以是易失性存储器，例如随机存取存储器；存储器1503也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘(solid-state drive，SSD)、或者存储器1503是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1503可以是上述存储器的组合。

处理器1501和NVDIMM1502用于实现如图7所示的图像处理的方法，其中：

处理器1501，用于在确定需要从NVDIMM1502中读取数据且读取的数据需要解密时，发送数据解密指令至NVDIMM1502，所述数据解密指令用于指示对读取的数据进行解密；

NVDIMM1502，用于接收所述处理器1501发送的数据解密指令；根据所述数据解密指令在所述NVDIMM1502中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器1501。

所述NVDIMM1502对读取的所述数据进行解密时，先获取解密密钥，其中，所述解密密钥由所述处理器1501生成并预先保存；之后再利用所述解密密钥对读出的所述数据进行解密处理。

本发明实施例还提供了一种计算机可读存储介质，存储有处理器为执行上述方法所需的计算机程序指令和数据，比如该存储介质可以为上述的存储器等类似的存储介质。

综上所述，本发明实施例中，NVDIMM通过确定接收到的数据写入/读出指令中的指示位确定是否需要加解密，NVDIMM在接收到的数据加/解出指令后，执行对应的加解密操作，使得处理器无需进行加解密的操作，而由NVDIMM自行进行加解密操作，减少了占用的处理器带宽，进而减少读写数据时处理器的时延，同时不需要对所有的写入或读出的数据进行加解密，不需进行额外的加解密操作，可以提供加解密操作的灵活性。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种计算机内存数据加密的方法，其特征在于，所述方法包括：

非易失性双列直插内存模块NVDIMM接收处理器发送的数据写入指令和待写入数据，所述数据写入指令中包含有指示位，所述指示位用于指示对所述待写入数据是否进行加密；

所述NVDIMM根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。
如权利要求1所述的方法，其特征在于，所述NVDIMM对所述待写入数据进行加密处理，包括：

所述NVDIMM获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

所述NVDIMM利用所述加密密钥对所述待写入数据进行加密处理。
一种计算机内存数据加密的方法，其特征在于，所述方法包括：

非易失性双列直插内存模块NVDIMM接收处理器发送的数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密；

所述NVDIMM根据所述数据加密指令，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。
如权利要求3所述的方法，其特征在于，所述NVDIMM对所述待写入数据进行加密处理，包括：

所述NVDIMM获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

所述NVDIMM利用所述加密密钥对所述待写入数据进行加密处理。
一种计算机内存数据解密的方法，其特征在于，所述方法包括：

非易失性双列直插内存模块NVDIMM接收处理器发送的数据读出指令，所述数据读出指令中包含有指示位，所述指示位用于指示对读取的数据是否进行解密；

所述NVDIMM根据所述指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM中读取数据，对读取的所述数据进行解密，并将解密后的所述数据发送至处理器。
如权利要求5所述的方法，其特征在于，所述NVDIMM对读出的所述数据进行解密处理，包括：

所述NVDIMM获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

所述NVDIMM利用所述解密密钥对读出的所述数据进行解密处理。
一种计算机内存数据解密的方法，其特征在于，所述方法包括：

非易失性双列直插内存模块NVDIMM接收处理器发送的数据解密指令，所述数据解密指令用于指示对读取的数据进行解密；

所述NVDIMM根据所述数据解密指令，在所述NVDIMM中读取数据，并对所述读取的所述数据进行解密处理，将解密后的所述数据发送至处理器。
如权利要求7所述的方法，其特征在于，所述NVDIMM对读出的所述数据进行解密处理，包括：

所述NVDIMM获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

所述NVDIMM利用所述解密密钥对读取的所述数据进行解密处理。
一种存储装置，其特征在于，所述存储装置包括：

接收单元，用于接收处理器发送的数据写入指令和待写入数据，所述数据写入指令中包含有指示位，其中，所述指示位用于指示对所述待写入数据是否进行加密；

存储单元，用于存储数据；

处理单元，用于接收所述接收单元发来的所述数据写入指令和所述待写入数据，并根据所述数据写入指令中的所述指示位，确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入所述存储单元中。
如权利要求9所述的存储装置，其特征在于，所述处理单元在对所述待写入数据进行加密时，具体用于：

获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

利用所述加密密钥对所述待写入数据进行加密处理。
如权利要求9或10所述的存储装置，其特征在于，所述存储装置为非易失性双列直插内存模块NVDIMM。
一种存储装置，其特征在于，所述存储装置包括：

接收单元，用于接收处理器发送的数据加密指令和待写入数据，所述数据加密指令用于指示对所述待写入数据进行加密；

存储单元，用于存储数据；

处理单元，用于接收所述接收单元发来所述数据加密指令和待写入数据，对所述待写入数据进行加密，并根据所述数据加密指令将加密后的所述待写入数据写入所述存储单元中。
如权利要求12所述的存储装置，其特征在于，所述处理单元在对所述待写入数据进行加密时，具体用于：

获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

利用所述加密密钥对所述待写入数据进行加密处理。
如权利要求12或13所述的存储装置，其特征在于，所述存储装置为非易失性双列直插内存模块NVDIMM。
一种存储装置，其特征在于，所述存储装置包括：

接收单元，用于接收处理器发送的数据读出指令，所述数据读出指令中包含有指示位，所述指示位用于指示对读取的数据是否进行解密；

存储单元，用于存储数据；

处理单元，用于接收所述接收单元发来的数据读出指令，在根据所述数据读出指令中的指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述存储单元中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。
如权利要求15所述的存储装置，其特征在于，所述处理单元对读取的所述数据进行解密处理时，具体用于

获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

利用所述解密密钥对读出的所述数据进行解密处理。
如权利要求15或16所述的存储装置，其特征在于，所述存储装置为非易失性双列直插内存模块NVDIMM。
一种存储装置，其特征在于，所述存储装置包括：

接收单元，用于接收处理器发送的数据解密指令，所述数据解密指令用于指示对读取的数据进行解密；

存储单元，用于存储数据；

处理单元，用于接收所述接收单元发来的数据解密指令，根据所述数据解密指令在所述存储单元中读取数据；对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。
如权利要求18所述的存储装置，其特征在于，所述处理单元对读取的所述数据进行解密处理时，具体用于：

获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

利用所述解密密钥对读取的所述数据进行解密处理。
如权利要求18或19所述的存储装置，其特征在于，所述存储装置为非易失性双列直插内存模块NVDIMM。
一种计算机，其特征在于，所述计算机包括处理器和非易失性双列直插内存模块NVDIMM；

处理器，用于在确定需要将待写入数据写入到NVDIMM时，发送数据写入指令和待写入数据至NVDIMM，所述数据写入指令中包含有指示位，所述指示位用于指示对所述待写入数据是否进行加密；

NVDIMM，用于接收所述处理器发送的数据写入指令和待写入数据，在根据所述指示位确定需要对所述待写入数据进行加密处理后，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。
如权利要求21所述的计算机，其特征在于，所述NVDIMM在对所述待写入数据进行加密时，具体用于：

获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

利用所述加密密钥对所述待写入数据进行加密处理。
一种计算机，其特征在于，所述计算机包括处理器和非易失性双列直插内存模块NVDIMM；

处理器，用于在确定需要将待写入数据写入到NVDIMM且需要对所述待写入数据进行加密时，发送数据加密指令和待写入数据至NVDIMM，所述数据加密指令用于指示对所述待写入数据进行加密；

NVDIMM，用于接收所述处理器发送的数据加密指令和待写入数据；根据所述数据加密指令，对所述待写入数据进行加密，并将加密后的所述待写入数据写入所述NVDIMM中。
如权利要求23所述的计算机，其特征在于，所述NVDIMM对所述待写入数据进行加密处理时，具体用于：

获取加密密钥，其中，所述加密密钥由所述处理器生成并预先保存；

利用所述加密密钥对所述待写入数据进行加密处理。
一种计算机，其特征在于，所述计算机包括处理器和非易失性双列直插内存模块NVDIMM；

处理器，用于在确定需要从NVDIMM中读取数据时，发送数据读取指令至NVDIMM，所述数据读出指令中包含有指示位，所述指示位用于指示对读取的数据是否进行解密；

NVDIMM，用于接收所述处理器发送的数据读出指令，在根据所述指示位确定需要对所述读取数据进行解密处理后，根据所述数据读出指令从所述NVDIMM中读取数据，对读取的所述数据进行解密，并将解密后的所述数据发送至处理器。
如权利要求25所述的计算机，其特征在于，所述NVDIMM对读取的所述数据进行解密时，具体用于：

获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

利用所述解密密钥对读出的所述数据进行解密处理。
一种计算机，其特征在于，所述计算机包括处理器和非易失性双列直插内存模块NVDIMM；

处理器，用于在确定需要从NVDIMM中读取数据且读取的数据需要解密时，发送数据解密指令至NVDIMM，所述数据解密指令用于指示对读取的数据进行解密；

NVDIMM，用于接收所述处理器发送的数据解密指令；根据所述数据解密指令在所述NVDIMM中读取数据，对读取的所述数据进行解密处理，并将解密后的所述数据发送至处理器。
如权利要求27所述的计算机，其特征在于，所述NVDIMM对读取的所述数据进行解密时，具体用于：

获取解密密钥，其中，所述解密密钥由所述处理器生成并预先保存；

利用所述解密密钥对读出的所述数据进行解密处理。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有软件程序，所述软件程序在被一个或多个处理器读取并执行时可实现如权利要求1～8任一项所述的方法。
一种计算机芯片，其特征在于，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，以执行如权利要求1～8任一项所述的方法。