i-NVMM:实时加密技术

　　下面是我们论文中的一段话，也是对于我们的工作最好的总结：

　　作为一种新出现的技术，非易失性主内存(NVMM)系统存在一个安全隐患，即存储在其中的数据在断电后仍然长时间留存，使得黑客可以在获取物理硬件设备后进行数据提取，获得主内存中的非加密敏感数据。此次研究工作的目的就是要找到一种安全解决方案，避免上述安全隐患。

　　根据我们的研究，我们推出了i-NVMM，这是一种针对NVMM的数据隐私保护方案，主内存中的数据采用增量(incrementally)方式被加密，即不同的数据在内存中被加密的时间不同，加密时间的选择则是根据其是否还会被处理器使用而定。

　　之所以采用增量加密方式，是因为每个应用程序在执行过程中，同一时刻需要处理的数据体积远小于程序进入主内存的体积。因此，只要判断出正在接受处理的数据，并把那些暂时不需要处理的数据进行加密，i-NVMM就可以确保内存中的大部分数据都处于加密保护状态，同时也不会对性能造成明显影响。

　　我们的实验证明这个想法是可行的。根据SPEC2006 benchmarks统计i-NVMM保证了主内存中78%的数据处于加密保护状态，同时程序延迟只比非加密状态多了3.7%，对于NVMM写入次数的影响更是微不足道。所有加密机制都是在内存模块中通过简单的硬件结构实现的。

　　Kassner: 当你在谈论NVMM和i-NVMM时，你是否建议大家将DRAM替换为NVMM?

　　Chhabra: NVMM目前还处于研究中，未来有很多种可能。

　　从物理接口来说，很久前就出现的NVM技术完全可以取代DRAM，但是NVM的读写速度一般来说要比DRAM慢，而且写入次数也不如DRAM。这两大问题，迫使计算机的存储系统成为如今这种混合型的系统。即为了利用DRAM的高速性能和更高的读写耐久度，在主内存系统中使用DRAM，而在对速度要求不高的环境下使用诸如PCM这样的非易失性存储器。

　　而在我们的加密研究中，我们所说的NVMM是可以完全取代DRAM的。不过这种安全结局方案也可以应用于我上面所说的目前这种混合型的存储系统。

　　Kassner: 在论文中，您涉及到了i-NVMM在加密和解密数据时，对数据是否需要被加密有一个选择过程。这种选择可靠吗?

　　Chhabra: i-NVMM通过预测来判断某段数据是否会被程序使用。实际上，一个程序涉及的数据要比他实际运行时需要的数据多很多。程序涉及的数据，我们可以称其为常驻集，而程序在稳定状态下会使用到数据我们称其为工作集。

　　如果加密方案无法区分程序数据的这种不同，就会将整个内存数据都进行加密。这将导致程序运行效率大大降低，因为程序用到的所有数据都需要随时进行解密供程序使用，然后再被加密存放，有的数据可能因此被反复加密解密。

　　通过检测不活跃的内存页面(通过内存模块的硬件计数功能)，内存端的加密引擎可以预测哪些内存页面数据不属于常驻集(或者叫惰性页面)。一旦某个页面被判断为惰性页面，就会被内存端的加密引擎进行加密。

　　Kassner: 你是怎么设计i-NVMM的?是通过增加固件的方式，还是在内存模块附加辅助硬件?

　　Chhabra: 我们认为i-NVMM的实现应该完全在内存模块内部，不需要在内存模块外增加额外的硬件、软件、固件支持等。

　　Kassner: 除了加密数据外，i-NVMM在安全性方面还做了哪些改进呢?我想既然i-NVMM带有内存预测能力，是否表示它能预防缓冲溢出?

　　Chhabra: 这个不行，i-NVMM并不是设计用来防止你提到的这种软件攻击的。它只是用来保护NVMM中的非易失数据。看来我应该在人们选择NVMM时明确说明，i-NVMM并不能保护系统数据不被攻击。

　　Kassner: 当电脑关机时会怎么样呢?内存会彻底清空?或者i-NVMM会将内存中的全部数据都加密储存?这方面的问题才是人们选择i-NVMM时最关心的吧?

　　Chhabra: 我们不希望在电脑关闭时，内存中的数据出于安全考虑而全部被清空，因为这样就没有必要选择NVM存储技术了。实际上，当电脑关机时， i-NVMM会将内存中未加密的数据进行加密(这些数据是程序正在使用的数据)。

　　在攻击情节中，攻击者会窃取一个正在运行的系统上的内存，而我们要做的就是确保攻击者无法从该内存中获取任何有用数据。i-NVMM内存中带有一个小型CMOS电池，确保一旦断电后，内存模块有足够的电力维持将其中的未加密数据进行加密。

　　Kassner: 未来i-NVMM会有什么发展吗?

　　Chhabra: 目前我们正在寻找对这种技术感兴趣的厂商，对技术进行专利化并生产处原型i-NVMM内存。

　　总结

　　本文让我们看到了存储领域的进步，尤其是针对安全实践硬件技术的进步。由此可见，安全已经成为了如今软硬件开发过程中都必须考虑的环节。