亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

虛擬化計(jì)算系統(tǒng)中隔離的客創(chuàng)建的制作方法

文檔序號:8909148閱讀:721來源:國知局
虛擬化計(jì)算系統(tǒng)中隔離的客創(chuàng)建的制作方法
【專利說明】
[0001]
[0002]
技術(shù)領(lǐng)域
[0003] 本公開設(shè)及計(jì)算機(jī)安全,并且更具體地設(shè)及用于允許較低特權(quán)實(shí)體將客(guest) 放置于較高特權(quán)執(zhí)行環(huán)境中的系統(tǒng)。
【背景技術(shù)】
[0004] 計(jì)算裝置中當(dāng)前的安全模式可W經(jīng)由分離來嘗試保護(hù)對于裝置操作為關(guān)鍵的軟 件。例如,譬如在虛擬機(jī)環(huán)境中,例如,在合并在由英特爾公司提供的很多處理器上的虛擬 化技術(shù)(VT)功能性中,一個(gè)或多個(gè)機(jī)器管理器可W控制在不同操作環(huán)境中操作的虛擬機(jī)。 例如,VT定義首要的監(jiān)視器模式,其中虛擬機(jī)管理器(VMM)或監(jiān)管器(HV)能夠降低客操作 系統(tǒng)(0巧的特權(quán)。相似地,VT還提供能夠降低SMI處理機(jī)化andler)特權(quán)的系統(tǒng)管理模 式傳輸監(jiān)視器(STM),使得其在系統(tǒng)管理模式(SMM)下作為STM的客來運(yùn)行。SMM可發(fā)起于 處理器當(dāng)前的狀態(tài)被保存并且所有其它進(jìn)程被停止。高特權(quán)操作可W隨后被執(zhí)行,譬如,例 如,排錯(cuò)、硬件管理、安全功能、仿真等等,隨后計(jì)算裝置基于保存的狀態(tài)恢復(fù)操作。一旦發(fā) 生系統(tǒng)模式中斷(SMI),計(jì)算裝置可W進(jìn)入SMM。
[0005] 在一些情況下,VMM或HV可W通過第S方供應(yīng)商來提供。在該樣的情況下,驗(yàn)證 該些程序是否已經(jīng)被更改或甚至已經(jīng)被另一程序(例如,惡意軟件)破壞是具有挑戰(zhàn)性的。 當(dāng)前的系統(tǒng)擁有在加載之前"測量"程序的能力,其通過散列可W提供軟件身份/版本的一 些指示。然而,即使通過測量,也不能保證該些高特權(quán)程序就不會嘗試惡意的事務(wù)。正常 的執(zhí)行環(huán)境中通過程序進(jìn)行對等監(jiān)視可能是受到損害的,因?yàn)閂MM或HV保持最高的特權(quán)。 在SMM期間可存取的分離的存儲器空間是存在的(例如,SMRAM)。該SMRAM保持其自己的 VMM,稱為Sffl傳輸監(jiān)視器(STM)。盡管SMRAM可W提供安全的操作環(huán)境,其能夠容納將獲 益于SMRAM隔離的各種程序,但當(dāng)前的STM架構(gòu)僅允許BIOSSMM客和SMI客,譬如測量的 啟動環(huán)境(MLE)SMM客。
【附圖說明】
[0006] 要求權(quán)利的主題的各種實(shí)施例的特征和優(yōu)點(diǎn)隨著W下詳細(xì)描述的進(jìn)行并在參考 附圖時(shí)將變得顯而易見,附圖中相似的數(shù)字指明相似的部分,其中:
[0007] 圖1示出了依照本公開的至少一個(gè)實(shí)施例的配置用于虛擬化計(jì)算系統(tǒng)中隔離的 客創(chuàng)建的示例裝置;
[000引圖2示出了依照本公開的至少一個(gè)實(shí)施例的用于隔離的客的示例配置;
[0009] 圖3示出了依照本公開的至少一個(gè)實(shí)施例的示例命令和屬性;
[0010] 圖4示出了依照本公開的至少一個(gè)實(shí)施例的受信任的對等監(jiān)視器和完整性檢查 的示例;
[0011] 圖5示出了依照本公開的至少一個(gè)實(shí)施例的用于虛擬化計(jì)算系統(tǒng)中隔離的客創(chuàng) 建的示例操作的流程圖;W及
[0012] 圖6示出了根據(jù)本公開的至少一個(gè)實(shí)施例的用于屬性處置的示例操作的流程圖。
[0013] 盡管W下的詳細(xì)描述將對示出的實(shí)施例做出的參考來繼續(xù),但許多其備選、修改 和變形對于本領(lǐng)域技術(shù)人員來說是顯而易見的。
【具體實(shí)施方式】
[0014] 本公開針對的是虛擬化計(jì)算系統(tǒng)中的隔離的客創(chuàng)建。計(jì)算裝置中的存儲器被劃分 為隔離的執(zhí)行環(huán)境,允許一些軟件(例如,客)能夠在高特權(quán)執(zhí)行環(huán)境中被隔離。低特權(quán)執(zhí) 行環(huán)境的虛擬機(jī)管理器(例如,ML巧可W配置成向高特權(quán)執(zhí)行環(huán)境的VMM(例如,STM)發(fā)布 命令,例如,使低特權(quán)執(zhí)行環(huán)境中加載的客被放置于高特權(quán)執(zhí)行環(huán)境中,在高特權(quán)執(zhí)行環(huán)境 中與客進(jìn)行交互,使客從高特權(quán)執(zhí)行環(huán)境中被移除等等??涂蒞包括屬性,其配置成控制客 行為,譬如,例如,何時(shí)執(zhí)行動作,怎樣響應(yīng)從MLE接收到的停止命令等等。
[0015] 在一個(gè)實(shí)施例中,裝置可包括存儲器模塊和處理模塊。存儲器模塊可W被配置為 包括高特權(quán)執(zhí)行環(huán)境和低特權(quán)執(zhí)行環(huán)境。在當(dāng)處理模塊裝備有VT時(shí)的情況下,高特權(quán)執(zhí)行 空間可對應(yīng)于SMM期間可存取的SMRAM。處理模塊可W配置成,例如,執(zhí)行低特權(quán)管理器(LP 管理器),其配置成控制低特權(quán)執(zhí)行環(huán)境的操作。LP管理器還可W配置成,例如,使配置成 控制高特權(quán)執(zhí)行環(huán)境操作的高特權(quán)管理器(HP管理器)將至少一個(gè)客放置于高特權(quán)執(zhí)行環(huán) 境中。
[0016] 在基于VT實(shí)現(xiàn)的示例中,LP管理器可W是MLE,并且HP管理器可W是STM。MLE 可配置成最初從BIOS鏡像(例如,統(tǒng)一可擴(kuò)展固件接口扣EFI)代碼),經(jīng)由網(wǎng)絡(luò)連接的另 一個(gè)裝置或裝置中的數(shù)據(jù)存儲組件(例如,閃存,磁盤驅(qū)動器等等)當(dāng)中的至少一個(gè)來獲得 所述至少一個(gè)客。客可W是不同于當(dāng)前定義的BIOSSMM客或SMI客(例如,MLE)的SMM 客。MLE于是可W發(fā)布命令至STM,W從低特權(quán)執(zhí)行環(huán)境加載所述至少一個(gè)客至高特權(quán)執(zhí)行 環(huán)境中。MLE仍然可W經(jīng)由至STM的命令與所述至少一個(gè)客進(jìn)行交互,并且至STM的另一個(gè) 命令可W從高特權(quán)執(zhí)行環(huán)境銷毀和移除所述至少一個(gè)客(例如,W使得在SMRAM中空間可 用)。
[0017] 在一個(gè)實(shí)施例中,所述至少一個(gè)客可W被配置為包括報(bào)頭、主體、簽名和屬性(例 如,SMM客屬性)。簽名可W允許MLE和/或STM驗(yàn)證客是合法的(例如,不是惡意軟件和 /或得到許可的)。屬性可W包含至少一個(gè)比特,其配置成控制所述至少一個(gè)客的行為。例 如,比特可W在屬性中被設(shè)置,W指示所述至少一個(gè)客應(yīng)該持續(xù)周期性地執(zhí)行活動(例如, W防止被破壞的MLE中斷周期性的對等監(jiān)視功能性)??蒞單獨(dú)使用或與上述聯(lián)合使用的 屬性中另外的比特可W向所述至少一個(gè)客指示從STM接收的指示所述至少一個(gè)客中斷操 作的命令應(yīng)當(dāng)被忽略(例如,W便防止被破壞的MLE中斷對等監(jiān)視功能性)。
[0018] 圖1示出了依照本公開的至少一個(gè)實(shí)施例的示例裝置,其被配置用于虛擬化計(jì)算 系統(tǒng)中隔離的客創(chuàng)建。裝置100的一些示例可W包括,但不限于,譬如基于Android?撰作 系統(tǒng)攸)、iOS?、Blackberry? 0S、Palm?〇S、Symbian?〇S等等的蜂窩式手機(jī)或智能 電話機(jī)之類的移動通信裝置,譬如像iPad?、GalaxyTab?、KindleFire??等等的 平板計(jì)算機(jī)、包括由英特爾公司制造的低功率巧片組的Ultrabook?、網(wǎng)絡(luò)本、筆記本計(jì)算 機(jī)、膝上型計(jì)算機(jī)等等的移動計(jì)算裝置,譬如桌面型計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)等等的典型固定 計(jì)算裝置。
[0019] 示例裝置100可W包含例如主機(jī)102,其配置成處置裝置100的基準(zhǔn)操作。主機(jī) 102可W包括例如處理模塊104、橋接模塊106、存儲器模塊108和其它模塊110。處理模塊 102可W包含被置于分立組件中的一個(gè)或多個(gè)處理器,或備選的是,包含于例如巧片上系統(tǒng) (S0C)配置中布置的單個(gè)集成電路(1C)中的一個(gè)或多個(gè)處理核。示例處理器可W包括自英 特爾公司可得到的各種基于x86的微處理器,包括奔騰、至強(qiáng)、安騰、賽揚(yáng)、Atom、酷眷i系列 產(chǎn)品家族中的那些微處理器。橋接模塊106可W包括配置成支持處理模塊104的電路。示 例電路可W包括接口 /橋接巧片組(例如,1C組),譬如北橋、南橋、或隨后由英特爾公司發(fā) 行的橋接巧片組,其可W配置成處置處理模塊104、存儲器模塊108和在裝置100'中使用 各種總線通信的其它模塊110之間的通信。例如,橋接模塊106可W配置成通過從一種類 型/速度的通信轉(zhuǎn)換為另一種來處置各種模塊之間的信令,并且還可配置成與各種不同的 裝置兼容W允許不同的系統(tǒng)實(shí)現(xiàn)、升級等等。橋接模塊106的一些功能性還可化合并入處 理模塊104、存儲器模塊108或其它模塊110。
[0020] 處理模塊104配置成執(zhí)行指令。指令可W包括配置成使處理模塊104執(zhí)行活動的 程序代碼,所述活動譬如但不限于讀取數(shù)據(jù)、寫入數(shù)據(jù)、處理數(shù)據(jù)、公式化數(shù)據(jù)、轉(zhuǎn)換數(shù)據(jù)、 變換數(shù)據(jù)等等。包括指令、數(shù)據(jù)等等的信息可W被存儲在存儲器模塊204中。存儲器模塊 108可包含固定或可移除形式的隨機(jī)存取存儲器(RAM)或只讀存儲器(ROM)。RAM可W包 括配置成在裝置100'的操作期間保存信息的存儲器,譬如,例如,靜態(tài)RAM(SRAM)或動態(tài) RAM值RAM)。ROM可W包括譬如配置成當(dāng)裝置100'激活時(shí)提供指令的計(jì)算裝置bios存儲 器之類的存儲器、譬如電子可編程ROM(EPROMS)、閃存等等的可編程存儲器。其它的固定和 /或可移除的存儲器可W包括譬如軟盤、硬盤驅(qū)動器等等的磁存儲器、譬如固態(tài)閃存存儲 器(例如,eMMC等等)的電子存儲器、可移除的存儲卡或椿(例如USB,USD等等)、譬如壓 縮型基于光盤的ROM(CD-ROM)的光存儲器、全息等等。
[0021] 其它模塊110可W包括針對在裝置100中支持其它功能性的模塊,其對于操作是 有用的或可能是必須的,而對本公開是不必要的。其它模塊110可W包括例如配置成向裝 置100供電的模塊、配置成在裝置100中支持有線和/或無線的通信的模塊、配置成在裝置 100中提供用戶接口特征的模塊、配置成支持??诘墓δ苄缘哪K等等。其它模塊110的組 成可W是可變的,該取決于例如外形因素、裝置100被配置的用途等等。
[0022] 與本公開一致的存儲器模塊108的實(shí)施例在108'示出。存儲器模塊108'可W 包括例如高特權(quán)執(zhí)行環(huán)境112和低特權(quán)執(zhí)行環(huán)境120。高特權(quán)執(zhí)行環(huán)境112中運(yùn)行的軟件 可W能夠影響裝置100中其它軟件的操作(例如,可W能夠在低特權(quán)執(zhí)行環(huán)境120中讀取、 寫入和/或執(zhí)行軟件),但在低特權(quán)執(zhí)行環(huán)境120中運(yùn)行的軟件不能夠影響高特權(quán)執(zhí)行環(huán) 境112中運(yùn)行的任何軟件。高特權(quán)執(zhí)行環(huán)境112可W包括例如配置成管理BIOS客116和 另外的客118之操作的HP管理器114。低特權(quán)執(zhí)行環(huán)境120可W包括配置成管理0S客1 124和0S客2 126之操作的LP管理器122。盡管只有兩個(gè)0S客124和126被示出,但與 本公開相一致的實(shí)施例并不限于僅有兩個(gè)客。
[0023] 在至少一個(gè)實(shí)施例中,高特權(quán)執(zhí)行環(huán)境112中的活動可W僅當(dāng)裝置100進(jìn)入特定 的模式時(shí)才發(fā)生。在該模式下,所有的其它處理活動可W在處理模塊104中被中斷,處理模 塊104的當(dāng)前上下文可被保存,并且隨后有關(guān)于高特權(quán)執(zhí)行環(huán)境112的任何操作可W在裝 置100中返回至正常操作之前被執(zhí)行。該模式可由HP管理器114配置。LP管理器122可 W在高特權(quán)執(zhí)行環(huán)境112中具有客,并且因此可W使用該客使HP管理器114執(zhí)行各種動 作。例如,軟件可被(例如,在引導(dǎo)期間從BIOS鏡像,從經(jīng)由網(wǎng)絡(luò)連接的另一裝置,從閃存、 硬盤驅(qū)動器等等)加載至低特權(quán)執(zhí)行環(huán)境120中,并且LP管理器122隨后可發(fā)送使HP管 理器114將該軟件加載為另外的客118的中斷。LP管理器122可W發(fā)布其它中斷至HP管 理器114,使另外的客118執(zhí)行動作或從高特權(quán)執(zhí)行環(huán)境112被移除(例如,為高特權(quán)執(zhí)行 環(huán)境112中的其它軟件騰出空間)。<
當(dāng)前第1頁1 2 3 4 5 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1