JP2016535373A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2016535373A5 JP2016535373A5 JP2016543935A JP2016543935A JP2016535373A5 JP 2016535373 A5 JP2016535373 A5 JP 2016535373A5 JP 2016543935 A JP2016543935 A JP 2016543935A JP 2016543935 A JP2016543935 A JP 2016543935A JP 2016535373 A5 JP2016535373 A5 JP 2016535373A5
- Authority
- JP
- Japan
- Prior art keywords
- code
- execution
- memory
- virtual machine
- executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims 6
Claims (10)
- 計算デバイスにおいて実装される方法であって、
仮想マシンまたは該仮想マシンで実行されているオペレーティング・システムによる、メモリー・ページを実行可能にする要求に応答して、前記メモリー・ページを識別するステップであって、前記メモリー・ページが、前記仮想マシンの仮想プロセッサーにより実行されるべき実行可能コードを含むプログラムのためのコードを格納した複数のメモリー・ページのうちの1つを含み、前記仮想マシンが仮想マシン・マネージャーによって管理される、ステップと、
前記メモリー・ページを識別したことに応答して、前記プログラムのためのコードを格納した前記複数のメモリー・ページのうちの識別した前記メモリー・ページがカーネル・モードであるいはユーザー・モードで実行可能にすべきか否か判定するステップと、
前記仮想マシンの前記オペレーティング・システムよりも多くの特権が与えられたエンティティによって、前記プログラムのためのコードを格納した前記複数のメモリー・ページのうちの識別した前記メモリー・ページが前記カーネル・モードで実行可能にすべきであると判定したことに応答して、前記複数のメモリー・ページに格納された前記実行可能コードのコード完全性チェックを実行し、前記コード完全性チェックが前記複数のメモリー・ページに格納された前記実行可能コードを確認した場合にのみ前記実行可能コードの実行を許すステップと、
前記プログラムのためのコードを格納した前記複数のメモリー・ページのうちの識別した前記メモリー・ページが前記カーネル・モードで実行可能にするべきでないと判定したことに応答して、前記仮想マシンの前記オペレーティング・システムに、前記プログラムのためのコードを格納した前記複数のメモリー・ページのすべてのメモリー・ページの前記実行可能コードの前記ユーザー・モードでの実行を許すか否か判定させるステップと、
を含む、方法。 - 請求項1記載の方法において、前記仮想マシンのオペレーティング・システムよりも多くの特権が与えられた前記エンティティが、仮想マシン・マネージャーを含み、識別した前記メモリー・ページがカーネル・モードで実行可能にすべきか否か判定するステップは、前記仮想マシン・マネージャーで実行され、前記仮想マシンの前記オペレーティング・システムに前記実行可能コードの前記ユーザー・モードでの実行を許すか否か判定させるステップは、前記仮想マシン・マネージャーで実行される、方法。
- 請求項1記載の方法であって、更に、前記オペレーティング・システムによって、識別した前記メモリー・ページが前記カーネル・モードで実行可能にすべきでないと判定したことに応答して、前記実行可能コードのコード完全性チェックを実行し、前記オペレーティング・システムによるコード完全性チェックが前記実行可能コードを確認した場合にのみ、前記実行可能コードの実行を許すステップを含む、方法。
- 請求項1記載の方法において、前記計算デバイスが、更に、前記仮想プロセッサーのユーザー・モードに対する実行許可またはポリシーとは別に、前記仮想プロセッサーのカーネル・モードに対する実行許可を指定させる属性を含むコンポーネントを含む、方法。
- オペレーティング・システムと、仮想マシン・マネージャーと、プロセッサーとを含む計算デバイスであって、前記プロセッサーが、
仮想マシンによる、プログラムのためのコードを格納した複数のメモリー・ページのうちの1つのメモリー・ページを実行可能にする要求に応答して、前記プログラムのためのコードを格納した前記複数のメモリー・ページのうちの各メモリー・ページに関し、前記メモリー・ページがカーネル・モードであるいはユーザー・モードで実行可能にすべきか否か判定し、
前記メモリー・ページが前記カーネル・モードで実行可能にすべき場合に、前記プログラムのためのコードを格納した前記複数のメモリー・ページのすべてのメモリー・ページのカーネル・モード実行を、前記仮想マシン・マネージャーに制限させて、前記プログラムのためのコードを格納した前記複数のメモリー・ページの完全性が、前記オペレーティング・システムよりも多くの特権が与えられた上位特権エンティティによって確認されている場合にのみ、前記コードの実行を許し、
前記メモリー・ページが前記ユーザー・モードで実行可能にすべき場合に、前記プログラムのためのコードを格納した前記複数のメモリー・ページ上のコードの完全性が前記上位特権エンティティによって確認されているか否かには関係なく、前記プログラムのためのコードを格納した前記複数のメモリー・ページのすべてのメモリー・ページのユーザー・モード実行を許す、
命令でプログラムされた、計算デバイス。 - 請求項5記載の計算デバイスにおいて、前記プロセッサーが、更に、前記仮想マシン・マネージャーによって完全性が確認されているコードを格納するメモリー・ページの実行許可属性を設定する命令でプログラムされた、計算デバイス。
- 請求項5記載の計算デバイスにおいて、前記プロセッサーが、アドレス変換表を含み、その属性が、メモリー・ページのカーネル・モード実行に対する実行許可を、メモリー・ページのユーザー・モード実行に対する実行許可とは別に指定させる、計算デバイス。
- 請求項5記載の計算デバイスにおいて、前記プロセッサーが、更に、メモリー・ページのカーネル・モード実行に対する実行許可を、メモリー・ページのユーザー・モード実行に対する実行ポリシーとは別に指定させる属性を有するハードウェア・コンポーネントを含む、計算デバイス。
- 請求項8記載の計算デバイスにおいて、前記属性が、メモリー・ページのカーネル・モード実行に対する実行許可を、メモリー・ページ毎のメモリー・ページのユーザー・モード実行に対する実行ポリシーとは別に指定させる、計算デバイス。
- 請求項8記載の計算デバイスにおいて、前記属性が、メモリー・ページにおけるコードのカーネル・モード実行を禁止するが前記メモリー・ページにおける前記コードのユーザー・モード実行を許す1つの実行の組み合わせと、前記メモリー・ページにおける前記コードのカーネル・モード実行および前記メモリー・ページにおける前記コードのユーザー・モード実行の双方を禁止する追加の組み合わせとを許す、計算デバイス。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361879068P | 2013-09-17 | 2013-09-17 | |
| US61/879,068 | 2013-09-17 | ||
| US14/179,378 US10198572B2 (en) | 2013-09-17 | 2014-02-12 | Virtual machine manager facilitated selective code integrity enforcement |
| US14/179,378 | 2014-02-12 | ||
| PCT/US2014/055290 WO2015041930A1 (en) | 2013-09-17 | 2014-09-12 | Virtual machine manager facilitated selective code integrity enforcement |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2016535373A JP2016535373A (ja) | 2016-11-10 |
| JP2016535373A5 true JP2016535373A5 (ja) | 2017-10-26 |
| JP6397500B2 JP6397500B2 (ja) | 2018-09-26 |
Family
ID=52669226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016543935A Active JP6397500B2 (ja) | 2013-09-17 | 2014-09-12 | 仮想マシン・マネージャーによって支援される選択的コード完全性強制 |
Country Status (11)
| Country | Link |
|---|---|
| US (2) | US10198572B2 (ja) |
| EP (1) | EP3047375B1 (ja) |
| JP (1) | JP6397500B2 (ja) |
| KR (1) | KR102166755B1 (ja) |
| CN (1) | CN105659211B (ja) |
| AU (1) | AU2014321545B2 (ja) |
| BR (1) | BR112016004493B1 (ja) |
| CA (1) | CA2922490C (ja) |
| MX (1) | MX362067B (ja) |
| RU (1) | RU2667713C2 (ja) |
| WO (1) | WO2015041930A1 (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102183852B1 (ko) * | 2013-11-22 | 2020-11-30 | 삼성전자주식회사 | 전자 장치의 무결성 검증을 위한 방법, 저장 매체 및 전자 장치 |
| JP6245700B2 (ja) * | 2014-04-11 | 2017-12-13 | 国立大学法人 東京大学 | 計算機システム、データの検査方法及び計算機 |
| US9628279B2 (en) * | 2014-09-30 | 2017-04-18 | Microsoft Technology Licensing, Llc | Protecting application secrets from operating system attacks |
| US10341384B2 (en) * | 2015-07-12 | 2019-07-02 | Avago Technologies International Sales Pte. Limited | Network function virtualization security and trust system |
| US10230529B2 (en) * | 2015-07-31 | 2019-03-12 | Microsft Technology Licensing, LLC | Techniques to secure computation data in a computing environment |
| CN107924440B (zh) * | 2015-08-21 | 2022-07-01 | 密码研究公司 | 用于管理容器的方法、系统和计算机可读介质 |
| US10713177B2 (en) * | 2016-09-09 | 2020-07-14 | Intel Corporation | Defining virtualized page attributes based on guest page attributes |
| US10768962B2 (en) * | 2016-12-19 | 2020-09-08 | Vmware, Inc. | Emulating mode-based execute control for memory pages in virtualized computing systems |
| FR3065553B1 (fr) * | 2017-04-20 | 2019-04-26 | Idemia Identity And Security | Procede d'execution d'un programme destine a etre interprete par une machine virtuelle protege contre des attaques par injection de faute |
| CN108959916B (zh) * | 2017-05-22 | 2022-01-14 | 华为技术有限公司 | 用于访问安全世界的方法、装置和系统 |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| US10216598B2 (en) * | 2017-07-11 | 2019-02-26 | Stratus Technologies Bermuda Ltd. | Method for dirty-page tracking and full memory mirroring redundancy in a fault-tolerant server |
| US10872043B2 (en) * | 2017-08-17 | 2020-12-22 | Microchip Technology Incorporated | Systems and methods for integrity checking of code or data in a mixed security system while preserving confidentiality |
| CN110581833B (zh) * | 2018-06-11 | 2022-08-23 | 中移(杭州)信息技术有限公司 | 一种业务安全保护方法及装置 |
| US11221957B2 (en) * | 2018-08-31 | 2022-01-11 | International Business Machines Corporation | Promotion of ERAT cache entries |
| RU2710860C1 (ru) * | 2019-02-07 | 2020-01-14 | Акционерное общество "Лаборатория Касперского" | Способ ограничения области автоматического выбора виртуальной машины защиты |
| US11487906B2 (en) * | 2019-03-08 | 2022-11-01 | International Business Machines Corporation | Storage sharing between a secure domain and a non-secure entity |
| US11531627B2 (en) | 2019-03-08 | 2022-12-20 | International Business Machines Corporation | Secure storage isolation |
| US11640361B2 (en) | 2019-03-08 | 2023-05-02 | International Business Machines Corporation | Sharing secure memory across multiple security domains |
| US11354402B2 (en) * | 2019-11-01 | 2022-06-07 | Microsoft Technology Licensing, Llc | Virtual environment type validation for policy enforcement |
| JP7380251B2 (ja) * | 2020-01-27 | 2023-11-15 | 株式会社Ihi | 仮想マシンにおけるデータ改ざんの監視方法及び装置 |
| US11537732B2 (en) * | 2020-04-27 | 2022-12-27 | Hewlett Packard Enterprise Development Lp | Unlocking access of information responsive to validation of program codes of virtual entities |
| CN112527329B (zh) * | 2020-12-15 | 2024-05-17 | 深圳市硅格半导体有限公司 | 固态存储设备的量产方法、系统、终端设备及存储介质 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7530103B2 (en) | 2003-08-07 | 2009-05-05 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
| CN100489728C (zh) | 2004-12-02 | 2009-05-20 | 联想(北京)有限公司 | 一种建立计算机中可信任运行环境的方法 |
| US7624373B2 (en) * | 2005-03-31 | 2009-11-24 | Microsoft Corporation | Security mechanism for interpreting scripts in an interpretive environment |
| US8276201B2 (en) * | 2007-03-22 | 2012-09-25 | International Business Machines Corporation | Integrity protection in data processing systems |
| US8108856B2 (en) * | 2007-03-30 | 2012-01-31 | Intel Corporation | Method and apparatus for adaptive integrity measurement of computer software |
| KR101396831B1 (ko) * | 2007-03-30 | 2014-05-21 | 삼성전자주식회사 | 메모리 접근 제어 방법 |
| US8220029B2 (en) | 2007-11-13 | 2012-07-10 | Samsung Electronics Co., Ltd. | Method and system for enforcing trusted computing policies in a hypervisor security module architecture |
| JP5260081B2 (ja) | 2008-02-25 | 2013-08-14 | パナソニック株式会社 | 情報処理装置及びその制御方法 |
| WO2009111405A1 (en) * | 2008-03-04 | 2009-09-11 | Apple Inc. | System and method of authorizing execution of software code based on a trusted cache |
| US8578483B2 (en) | 2008-07-31 | 2013-11-05 | Carnegie Mellon University | Systems and methods for preventing unauthorized modification of an operating system |
| US8356285B2 (en) | 2009-03-31 | 2013-01-15 | Oracle America, Inc. | Facilitated introspection of virtualized environments |
| US8285987B1 (en) | 2009-12-04 | 2012-10-09 | The United States Of America As Represented By The Secretary Of The Air Force | Emulation-based software protection |
| KR101663013B1 (ko) * | 2010-01-15 | 2016-10-06 | 삼성전자주식회사 | 코드 주입 공격을 감지하는 장치 및 방법 |
| CN101866408B (zh) | 2010-06-30 | 2011-11-30 | 华中科技大学 | 一种基于虚拟机架构的透明信任链构建系统 |
| US9038176B2 (en) | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
| US8549644B2 (en) * | 2011-03-28 | 2013-10-01 | Mcafee, Inc. | Systems and method for regulating software access to security-sensitive processor resources |
| RU2530691C1 (ru) | 2013-03-26 | 2014-10-10 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ защищенного удаленного доступа к информационным ресурсам |
-
2014
- 2014-02-12 US US14/179,378 patent/US10198572B2/en active Active
- 2014-09-12 RU RU2016109436A patent/RU2667713C2/ru active
- 2014-09-12 BR BR112016004493-2A patent/BR112016004493B1/pt active IP Right Grant
- 2014-09-12 EP EP14783695.1A patent/EP3047375B1/en active Active
- 2014-09-12 KR KR1020167006969A patent/KR102166755B1/ko active IP Right Grant
- 2014-09-12 CN CN201480049869.3A patent/CN105659211B/zh active Active
- 2014-09-12 WO PCT/US2014/055290 patent/WO2015041930A1/en active Application Filing
- 2014-09-12 JP JP2016543935A patent/JP6397500B2/ja active Active
- 2014-09-12 AU AU2014321545A patent/AU2014321545B2/en active Active
- 2014-09-12 MX MX2016003190A patent/MX362067B/es active IP Right Grant
- 2014-09-12 CA CA2922490A patent/CA2922490C/en active Active
-
2019
- 2019-01-15 US US16/247,705 patent/US10831886B2/en active Active
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2016535373A5 (ja) | ||
| RU2016109436A (ru) | Селективное обеспечение соблюдения целостности кода, обеспечиваемое менеджером виртуальной машины | |
| JP2016507849A5 (ja) | ||
| JP2017518594A5 (ja) | ||
| JP2017526071A5 (ja) | ||
| JP2017041250A5 (ja) | ||
| JP2015111909A5 (ja) | ||
| RU2017104752A (ru) | Системы и способы предоставления результата текущей команды процессора при выходе из виртуальной машины | |
| JP2013521587A5 (ja) | ||
| JP2018514028A5 (ja) | ||
| JP2018538630A5 (ja) | ||
| JP2015507310A5 (ja) | ||
| JP2016526730A5 (ja) | ||
| JP2014521184A5 (ja) | ||
| JP2014199672A5 (ja) | ||
| JP2017519308A5 (ja) | ||
| JP2014517383A5 (ja) | ||
| JP2016517992A5 (ja) | ||
| JP2013503375A5 (ja) | ||
| JP2014534532A5 (ja) | ||
| JP2015537298A5 (ja) | ||
| JP2014524628A5 (ja) | ||
| JP2018503154A5 (ja) | ||
| RU2016141987A (ru) | Способ и устройство изменения ресурса виртуальной вычислительной машины и устройство для функционирования виртуальной сети передачи данных | |
| RU2018118828A (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) |