INSTRUCTIONS AND LOGIC TO SUSPEND/RESUME MIGRATION OF ENCLAVES IN A SECURE ENCLAVE PAGE CACHE

• Main Authors: ALEXANDROVICH, Ilya, MCKEEN, Francis X, NEIGER, Gilbert, ROZAS, Carlos V, LESLIE-HURD, Rebekah M, ANATI, Ittai, CHAKRABARTI, Somnath, SCARLATA, Vincent R, SHANBHOGUE, Vedvyas, ZMUDZINSKI, Krystof C, VIJ, Mona, JOHNSON, Simon P
• Format: Patent
• Language: English; French
• Published: 29.06.2017
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

Instructions and logic support suspending and resuming migration of enclaves in a secure enclave page cache (EPC). An EPC stores a secure domain control structure (SDCS) in storage accessible by an enclave for a management process, and by a domain of enclaves. A second processor checks if a corresponding version array (VA) page is bound to the SDCS, and if so: increments a version counter in the SDCS for the page, performs an authenticated encryption of the page from the EPC using the version counter in the SDCS, and writes the encrypted page to external memory. A second processor checks if a corresponding VA page is bound to a second SDCS of the second processor, and if so: performs an authenticated decryption of the page using a version counter in the second SDCS, and loads the decrypted page to the EPC in the second processor if authentication passes. Selon la présente invention, des instructions et une logique prennent en charge l'arrêt et la reprise de migration d'enclaves dans une mémoire cache de page d'enclave sécurisée (EPC). Une EPC stocke une structure de commande de domaine sécurisé (SDCS) dans la mémoire accessible au moyen d'une enclave destinée à un processus de gestion, et d'un domaine d'enclaves. Un second processeur vérifie si une page de matrice de version (VA) est liée à la SDCS, et si tel est le cas, incrémente un compteur de version dans la SDCS destiné à la page, réalise un cryptage authentifié de la page de l'EPC à l'aide du compteur de version dans la SDCS, et écrit la page cryptée dans la mémoire externe. Un second processeur vérifie si une page de VA est liée à une seconde SDCS du second processeur, et si tel est le cas, réalise un décryptage authentifié de la page à l'aide d'un compteur de version dans la seconde SDCS, et charge la page décryptée dans l'EPC dans le second processeur si l'authentification a réussi.