JP6802052B2 - 透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラム - Google Patents

透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラム Download PDF

Info

Publication number
JP6802052B2
JP6802052B2 JP2016239502A JP2016239502A JP6802052B2 JP 6802052 B2 JP6802052 B2 JP 6802052B2 JP 2016239502 A JP2016239502 A JP 2016239502A JP 2016239502 A JP2016239502 A JP 2016239502A JP 6802052 B2 JP6802052 B2 JP 6802052B2
Authority
JP
Japan
Prior art keywords
instruction
data
firmware
memory
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016239502A
Other languages
English (en)
Other versions
JP2017111812A (ja
Inventor
ドミニク、ディングル
ラインハルト、テオドール、ブエントゲン
クリスチャン、ボルントレーガー
ウッツ、バッヒャー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2017111812A publication Critical patent/JP2017111812A/ja
Application granted granted Critical
Publication of JP6802052B2 publication Critical patent/JP6802052B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/065Replication mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0683Plurality of storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Stored Programmes (AREA)

Description

本発明は、デジタル・コンピュータ・システムの分野に関し、詳細には、透明で安全なインターセプション処理のための方法に関する。
パブリック・クラウド環境に関する主な問題の1つは、たとえばクラウド・プロバイダによる、データおよびアルゴリズムへの安全でないアクセスである。クラウド・プロバイダは、自らのサービスを提供する目的でデータにそのようにアクセスすることを必要とはしないので、そのようなデータにアクセスすることを阻止されることがあり得る。しかし、クラウド・プロバイダは、自分たちのハードウェア・リソースを仮想化して効率性のためにそれらを複数のカスタマに提供することが依然として可能であり、同時に、カスタマの側では、クラウド・プロバイダからのデータまたはアルゴリズムへのアクセスが不可能であることが保証されているように、アクセス阻止が実行されなければならない。典型的には、クラウド・オペレータは、自分たちのハイパーバイザ環境への特権的なアクセスを有しているので、ソフトウェアだけによるソリューションは、除外され得る。
本発明の課題は、透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラムを提供することである。
様々な実施形態が、独立請求項の主題によって記載されているように、透明で安全なインターセプション処理のための方法、ファームウェア、ハイパーバイザ、コンピュータ・プログラム製品およびコンピュータ・システムを提供する。有利な実施形態が、従属請求項に記載されている。本発明の実施形態は、相互に排他的でない限り、相互に自由に組み合わせることが可能である。
ある態様では、本発明は、透明で安全なインターセプション処理のためのコンピュータ実装方法に関する。この方法は、
仮想マシンVMを、ハイパーバイザおよびファームウェアを含む環境において展開するステップであって、ハイパーバイザはハードウェア上で動作し、ファームウェアはハードウェアと仮想マシンの状態とを管理し、仮想マシンは環境の対応するVMメモリにアクセスするように構成されている、展開するステップと、
仮想マシンを展開する際には、ハイパーバイザによって、ファームウェアにバッファを提供するステップと、
仮想マシンのVM命令を実行するステップと、
VM命令のうちの、命令データへのアクセスを要求するVM命令を、ファームウェアによってインターセプトするステップであって、命令データは、VMメモリに記憶されているVMデータと仮想マシンの状態であるVM状態の少なくとも一部との少なくとも一方を含む、インターセプトするステップと、
VM命令がインターセプトされる際には、ファームウェアによって、VM状態を、ファームウェアが有するシャドウVM状態バッファにコピーするステップと、
ファームウェアにより、命令データをバッファにコピーするステップと、
バッファを用いて、インターセプトされたVM命令をハイパーバイザによって実行するステップと、
インターセプトされたVM命令の実行が結果的に結果データを生じさせる場合には、インターセプトされたVM命令に続いてVM命令の実行を再開する前に、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を、バッファにおける結果データを用いて、更新するステップと、
シャドウVM状態バッファに記憶されている状態に基づき、インターセプトされたVM命令に続いて、VM命令の実行を再開するステップと、
を含む。
別の態様では、本発明は、ハードウェア上で動作するハイパーバイザを含む、透明で安全なインターセプション処理のためのコンピュータ・システムに関する。このハイパーバイザは、
コンピュータ・システムにおいて、コンピュータ・システムの対応するVMメモリにアクセスするように構成されている仮想マシンVMを展開し、
仮想マシンを展開する際には、バッファをファームウェアに提供し、
仮想マシンのVM命令を実行する、
ように構成される。
コンピュータ・システムは、さらに、ハードウェアと仮想マシンの状態とを管理するファームウェアを含む。
ファームウェアは、VM命令のうちの、VMメモリに記憶されているVMデータと仮想マシンの状態であるVM状態の少なくとも一部との少なくとも一方を含む命令データへのアクセスを要求するVM命令をインターセプトし、VM状態を、ファームウェアが有するシャドウVM状態バッファにコピーし、命令データをバッファにコピーする、ように構成される。
ハイパーバイザは、バッファを用いて、インターセプトされたVM命令を実行する、ように構成されており、
ファームウェアは、インターセプトされたVM命令の実行が結果的に結果データを生じさせる場合には、インターセプトされたVM命令に続いてVM命令の実行を再開する前に、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を、バッファにおける結果データを用いて、更新する、ように構成される。
ファームウェアは、シャドウVM状態バッファに記憶されている状態に基づいて、インターセプトされたVM命令に続いて、VM命令の実行を再開する、ように構成される。
別の態様では、本発明は、ハードウェアと仮想マシンの状態とを管理する、透明で安全なインターセプション処理のためのファームウェアに関する。このファームウェアは、
仮想マシンのVM命令のうちの、VMメモリに記憶されているVMデータと仮想マシンの状態であるVM状態の少なくとも一部との少なくとも一方を含む命令データへのアクセスを要求するVM命令をインターセプトし、
VM状態を、ファームウェアが有するシャドウVM状態バッファにコピーし、
命令データをバッファにコピーし、
インターセプトされたVM命令に続いてVM命令の実行を再開する前に、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を、インターセプトされたVM命令の実行の結果を用いて、更新し、
シャドウVM状態バッファに記憶されている状態に基づいて、インターセプトされたVM命令に続いてVM命令の実行を再開する、ように構成される。
別の態様では、本発明は、透明で安全なインターセプション処理のためのハイパーバイザに関する。このハイパーバイザは、
コンピュータ・システムにおいて、仮想マシンVMを展開し、
コンピュータ・システムの対応するVMメモリにアクセスするように仮想マシンを構成し、
仮想マシンを展開する際には、バッファをコンピュータ・システムのファームウェアに提供し、
仮想マシンのVM命令を実行し、
バッファを用いて、VM命令のうちの、インターセプトされたVM命令を実行し、
シャドウVM状態バッファに記憶されている状態に基づいて、インターセプトされたVM命令に続いてVM命令の実行を再開する、ように構成される。
別の態様では、本発明は、プログラム命令が具現化されているコンピュータ可読記憶媒体を含む、透明で安全なインターセプション処理のためのコンピュータ・プログラム製品であって、プログラム命令が、プロセッサによって、
仮想マシンVMを、ハイパーバイザおよびファームウェアを含む環境において展開することであって、ハイパーバイザはハードウェア上で動作し、ファームウェアはハードウェアと仮想マシンの状態とを管理し、仮想マシンは環境の対応するVMメモリにアクセスするように構成されている、展開することと、
仮想マシンを展開する際には、ファームウェアにバッファを提供することと、
仮想マシンのVM命令を実行することと、
VM命令のうちの、命令データへのアクセスを要求するVM命令をインターセプトすることであって、命令データは、VMメモリに記憶されているVMデータと仮想マシンの状態であるVM状態の少なくとも一部との少なくとも一方を含む、インターセプトすることと、
VM命令がインターセプトされる際には、VM状態を、ファームウェアが有するシャドウVM状態バッファにコピーすることと、
命令データをバッファにコピーすることと、
バッファを用いて、インターセプトされたVM命令を実行することと、
インターセプトされたVM命令の実行が結果的に結果データを生じさせる場合には、インターセプトされたVM命令に続いてVM命令の実行を再開する前に、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を、バッファにおける結果データを用いて、更新することと、
シャドウVM状態バッファに記憶されている状態に基づき、インターセプトされたVM命令に続いて、VM命令の実行を再開することと、
を行うように実行可能である、コンピュータ・プログラム製品に関する。
上記の特徴は、仮想マシン環境において、データに安全にアクセスするという利点を有し得る。これは、仮想マシンを集中的に管理し、仮想マシンのユーザが集中的管理に関する制御を有していない場合があり得る分散型システムに対し、特に有利であり得る。たとえば、本発明による方法を用いると、クラウド・プロバイダは、ハードウェア・リソースを仮想化して効率性のためにそれらを複数のユーザに提供することが依然として可能であり得るのであって、同時に、ユーザの側では、クラウド・プロバイダからのデータまたはアルゴリズムへのアクセスが不可能であることが保証され得る。これは、(たとえば、インテルのSGX、マイクロソフトのHaven、IBMのSecureBlue++などの)ハイパーバイザによるVM状態(CPUだけでなくメモリも)へのアクセスを阻止することによって、機能し得る。
以下では、本発明の実施形態が、単なる例示により、次の図面を参照して、さらに詳細に、説明される。
コンピュータ・システムのブロック図である。 透明で安全なインターセプション処理のための方法のフローチャートである。 命令データをバッファにコピーするための方法のフローチャートである。 シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を更新するための方法のフローチャートである。 本開示の例示的な方法によるメモリ構造の図解である。 本開示の例示的な方法によるメモリ構造の図解である。 本発明による方法が実装され得る一般的なコンピュータ・システムのブロック図である。 本発明による方法が実装され得る一般的なネットワーク環境の図解である。 本発明による方法が実装され得るハードウェアおよびソフトウェアと、仮想化と、管理と、ワークロードとの関係の図解である。
本発明の様々な実施形態に関する説明が例証の目的で提示されてきたが、網羅的であることや開示されている実施形態に限定されることは、意図されていない。説明された実施形態の範囲および主旨から逸脱することなく、当業者には、多くの変更および変形が明らかとなろう。本明細書において用いられている用語は、実施形態の原理、実際的な応用、もしくは市場において見出される技術に対する技術的改善を最もよく説明するように、または、他の当業者が本明細書において開示されている実施形態を理解することを可能にするように、選択された。
本発明による方法は、既存のハイパーバイザが、ファームウェアの上で動作しているときに、VMインターセプトおよび割り込み処理を実行することを、可能にし得る。特に、仮想マシンのインターセプトおよび割り込み処理を管理するハイパーバイザのレイヤは、変更を受けないままであり得るのである。この要件を満たすことにより、ハイパーバイザの側におけるそのようなソリューションを求める開発の努力が単純化され得るし、よって、ファームウェア技術がより広範な開発者に利用可能になり得る。ファームウェアは、VMすなわち仮想マシンの機密性が維持され得るように、現行の仮想化インターフェースによって用いられるハイパーバイザ・メモリを管理する責任を有し得る。
本明細書で用いられる「VM状態」という用語は、特定のVMにおいて特定の時点で生じる情報およびリソースの、構成もしくは集合またはその両方を指す。
本明細書で用いられる「仮想マシン(VM)」という用語は、物理マシン(コンピューティング・デバイス、プロセッサなど)の論理表現とその処理環境(オペレーティング・システム(OS)、ソフトウェア・リソースなど)とを指す。VMは、基礎となるホスト・マシン(物理プロセッサまたはプロセッサの組)上で実行するソフトウェアとして維持される。ユーザまたはソフトウェア・リソースの視点からは、VMは、それ自体の独立の物理マシンであるように見える。
本明細書で用いられる「ハイパーバイザまたはVMモニタ(VMM)」という用語は、複数のVMを管理しそれらのVMが同一のホスト・マシン上で複数の(そして、時には異なる)OSを用いて実行するすることを可能にする、処理環境またはプラットフォーム・サービスを指す。
本明細書で用いられる「ハードウェア」という用語は、電子的、電磁気的、光学的、電子光学的、機械的、電子機械的部品などの物理的構造を有する要素を指す。
本明細書で用いられる「ファームウェア」という用語は、ハードウェア構造(たとえば、フラッシュ・メモリまたはリード・オンリ・メモリ)において実装または具現化されている論理構造、方法、手順、プログラム、ルーチン、プロセス、アルゴリズム、公式、または表現を指す。ファームウェアの例には、マイクロコード、書き換え可能型制御記憶、およびマイクロプログラムされた構造がある。
本明細書で用いられる「バッファ」またはプールという用語は、データをある場所から別の場所に移動させるときに、そのデータを一時的に記憶するのに用いられる物理メモリ・ストレージのある領域を指す。
仮想マシンの展開には、その仮想マシンのインストール・プロセスおよび作動(または始動)プロセスが含まれる、と理解される。別の例では、仮想マシンの展開には、たとえば、その仮想マシンが先にインストールされているまたは既に存在している場合には、その仮想マシンの作動(または始動)プロセスが含まれる。
VM命令のインターセプションは、本明細書において説明されるように、VM命令が実行されている間に、その実行が割り込みを受けて、そして、再開されるように、実行され得る。割り込みでは、VM命令の「通常の」実行が、割り込まれたVM命令が実行されるまで中断されるという意味が、意図されている。たとえば、VM命令が、一連の命令inst1、inst2、inst3、...、instNを含み、inst4がインターセプトされた命令である場合を考える。この場合には、inst1〜inst3が実行され(たとえば、第1の技術を用いて)、次に、inst4が本明細書で説明されるように別の方法で実行されるときに、この実行が割り込まれ、そして、inst4の実行の後で、第1の技術を用いたinst1〜inst3の実行に対してinst5〜instNの実行がなされるように、inst5〜instNの実行が再開され得る。
上記の特徴は、仮想マシン環境において、データに安全にアクセスするという利点を有し得る。これは、仮想マシンを集中的に管理し、仮想マシンのユーザが集中的管理に関する制御を有していない場合があり得る分散型システムに対し、特に有利であり得る。たとえば、本発明による方法を用いると、クラウド・プロバイダは、ハードウェア・リソースを仮想化して効率性のためにそれらを複数のユーザに提供することが依然として可能であり得るのであって、同時に、ユーザの側では、クラウド・プロバイダからのデータまたはアルゴリズムへのアクセスが不可能であることが保証され得る。これは、(たとえば、インテルのSGX、マイクロソフトのHaven、IBMのSecureBlue++などの)ハイパーバイザによるVM状態(CPUだけでなくメモリも)へのアクセスを阻止することによって、機能し得る。
ある実施形態によると、バッファは、VM状態バッファとメモリ・プールとを含んでおり、命令データをバッファにコピーするステップは、ファームウェアによって、VM状態の少なくとも一部を、シャドウVM状態バッファからVM状態バッファにコピーするステップと、命令データが、VMメモリに記憶されているVMデータを含む場合には、ファームウェアによって、VMデータを、VMメモリからメモリ・プールにコピーするステップと、ファームウェアによって、VM状態バッファにおいて、VMメモリにおけるデータへの第1のアドレスを、メモリ・プールにおける対応する第2のアドレスによって置換するステップと、を含む。この実施形態は、VMメモリにおけるデータへのアクセスをメモリにおける他の位置にリダイレクトすることによって、既存のシステムに、透明な態様で、シームレスに組み込まれ得る。これは、既存の環境のハイパーバイザの変更または構成を阻止し得る。この実施形態は、ハイパーバイザによるVMメモリへのアクセスを阻止し得る。
ある実施形態によると、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を更新するステップは、メモリ・プールにおける処理されたVMデータを結果データが含むという判断に応答して、処理されたVMデータの少なくとも一部を、メモリ・プールから第1のアドレスの関連するアドレスへ、ファームウェアによって、コピーするステップと、VM状態バッファに記憶されている結果データの少なくとも一部を、ファームウェアによって、シャドウVM状態バッファにコピーするステップと、シャドウVM状態バッファにおいて、第2のアドレスのアドレスを、VMメモリ・プールにおけるデータへの対応するアドレスに、ファームウェアによって、置換するステップと、を含む。この実施形態は、仮想マシンを実行するための信頼できる方法を提供し得る。VMメモリにおける処理されたデータをコピーすることによって、仮想マシン命令の以後の実行は、たとえばインターセプトされたVM命令である先の命令によって生じた正しい/正確なデータを用い得る。
ある実施形態によると、処理されたVMデータの少なくとも一部は、インターセプトされたVM命令を用いてファームウェアによって決定された予測データと、インターセプトされたVM命令の引数とを含む。この実施形態は、不要なデータをVMメモリにコピーすることを、阻止し得る。たとえば、ハイパーバイザは、インターセプトされたVM命令と関係のない余分なデータを生じさせ得る。この余分なデータは、VMメモリにおいては、コピーされ得ない。
ある実施形態によると、命令データは、インターセプトされたVM命令とインターセプトされたVM命令の引数とを用いて、ファームウェアによって決定される。
ある実施形態によると、方法は、さらに、仮想マシンを展開する際には、ハイパーバイザがVMメモリにアクセスすることを防止するステップを含む。これは、VMメモリへの悪意のあるアクセスを防止することによって、本発明による方法の安全な態様をさらに強化するという利点を有し得る。たとえば、ハイパーバイザはバッファからデータを読み出すようにリダイレクトされるが、VMメモリへの悪意あるアクセスがそこで実施されるということが起こり得る。
ある実施形態によると、方法は、さらに、メモリ・プールとVM状態のためのバッファとにおける未使用のデータ位置を、ファームウェアによって、フェイク・データを用いて満たすステップを含む。これは、ハイパーバイザが、展開されたVMのメモリ・プールにおいてVMメモリのコピーにアクセスすることだけを許されているという点で、本発明による方法の安全な態様をさらに強化するという利点を有し得る。未使用のデータにアクセスしようと試みると、結果的に、フェイク・データを読み出すことがあり得る。これが、ハイパーバイザのクラッシュを防止し得る。
ある実施形態によると、フェイク・データは、ランダム・データとゼロとの少なくとも一方を含む。
ある実施形態によると、インターセプトされたVM命令をハイパーバイザによって実行するステップは、インターセプトされたVM命令に続くVM命令の実行を再開することをハイパーバイザによって要求するステップをさらに含む。インターセプトされたVM命令の実行が完了すると、ファームウェアが、VM命令の実行を完了するために要求され得るバッファにおける結果的なデータへのアクセスを有し得る。
ある実施形態によると、ファームウェアによって、仮想マシンの状態を、ファームウェアが有するシャドウVM状態バッファにコピーするステップは、仮想マシンのために仮想CPUであるvCPUをセットアップする際に、または、vCPU上でVM命令を実行する際に、実行される。この実施形態は、既存のシステムに本発明による方法をシームレスに組み入れるという利点を有し得る。
図1は、コンピュータ・システム101のブロック図を示している。コンピュータ・システム101は、クラウド・コンピューティング環境の一部であり得る。しかし、当業者であれば、前記コンピュータ・システム101が、グリッド・コンピューティング・システムおよびクラスタ・コンピューティング・システムなど他の分散コンピューティング・システムと、仮想化ソフトウェアをサポートするコンピューティング・システムとに組み入れられ得ることを、そして、そのようなシステムで機能し得ることを、認識するはずである。
図によって示されているように、コンピュータ・システム101は、ハイパーバイザ112(これは、仮想マシン・モニタとも称され得る)によって管理され得る。ハイパーバイザ112は、1つまたは複数の仮想マシン128.1〜128.Nを作成し得る。ハイパーバイザ128によって、その仮想マシン128.1〜128.Nが、コンピュータ・システム101の物理リソース114を共用することが可能になり得る。物理リソース114は、データまたは命令の処理を実行し得るのであって、命令を実行する1つまたは複数のプロセッサ116と、たとえば処理のための情報を記憶するランダム・アクセス・メモリ(RAM)118などのメモリと、ハード・ディスク・ドライブ(HDD)、電子機械的なハード・ドライブおよびソリッド・ステート・ハード・ドライブなどのストレージ・デバイス120と、物理処理リソースの間の相互作用を調整するファームウェア124を含むチップセット122とを含み得る。ファームウェア124の一例は、ハイパーバイザ112を、プロセッサ116による実行のために、ハード・ディスク・ドライブ120であるストレージにおけるオフ状態からRAM118におけるオン状態にブートする、基本入力/出力システム(BIOS)である。動作状態では、ハイパーバイザ112は、物理リソース114を用いて、仮想マシン128の動作をサポートするように、実行する。いくつかのプログラムが、ストレージ・デバイス120もしくはRAM118またはその両方に含まれ得るのであって、オペレーティング・システムもしくはアプリケーション・プログラムまたはその両方を含むプロセッサ116によって実行され得る。
物理リソース116のコンポーネントは、様々なシステム・コンポーネントをプロセッサ116に結合する1つまたは複数のシステム・バスによって、相互に接続され得る。システム・バスは、メモリ・バスまたはメモリ・コントローラと、周辺バスと、多様なバス・アーキテクチャのいずれかを用いたローカル・バスとを含む、いくつかのタイプのバス構造のいずれかであり得る。
各VM128は、少なくとも1つの仮想CPU131と、仮想システム・メモリすなわちVMメモリ135と、ゲスト・オペレーティング・システムと、ゲスト・オペレーティング・システム上で動作する1つまたは複数のアプリケーションと、オプションであるが、少なくとも1つの仮想ディスク133とを含む。VM128.1のコンポーネントは、物理コンピュータの対応するコンポーネントをエミュレートするソフトウェアとして、実装され得る。たとえば、仮想マシン128.1は、RAM118の対応する物理メモリ235.1をエミュレートするソフトウェアとして実装され得る仮想システム・メモリ135.1を含む。仮想マシン128.1の仮想CPU131.1は、プロセッサ116の対応する物理CPU231.1をエミュレートしている。仮想マシン128.1の仮想ディスク133.1は、ストレージ・デバイス120の対応する物理ディスク233.1をエミュレートしており、ここで、1は仮想マシンを指し、1〜Nの値を有する。
RAM118は、さらに、ファームウェア124が有するシャドウVM状態バッファ140を含み得るのであるが、たとえば、ファームウェア124だけが、シャドウVM状態バッファ140へのアクセスを有し得るか、または、ファームウェア124が、そのシャドウVM状態バッファ140にアクセスするために他のコンポーネントを制御することがあり得る。RAM118は、さらに、後述されるように提供されるバッファ142〜144を含み得る。
図2は、1つまたは複数のVM命令処理の透明で安全なインターセプトのための方法のフローチャートである。ステップ201では、たとえばVM1 128.1などの仮想マシンが展開され得る。たとえば、ハイパーバイザ112が、仮想マシン128.1を展開し得る。VM128.1の展開は、たとえば周期的(毎日)に、自動的に実行され得る。別の例では、VM128.1の展開は、VM128.1の展開を求めるリクエストがハイパーバイザによって受け取られることに応答して、実行され得る。
VM128.1の展開は、たとえば、VM128.1をインストールするステップと、VM128.1を始動させるステップとを含み得る。別の例では、VM128.1の展開は、VM128.1がコンピュータ・システム101上に既にインストールされている場合には、VM128.1を始動させるステップを含み得る。
ステップ203では、仮想マシン128.1を展開する際に、ハイパーバイザ112が、ファームウェア124に、バッファ142〜144を提供し得る。たとえば、バッファ142〜144は、メモリまたはRAM118の1つまたは複数の領域を含み得る。バッファ142〜144は、データを、ある場所から別の場所に移動させつつある間に、そのデータを一時的に記憶するのに用いられ得る。たとえば、バッファ142〜144は、VM128.1が閉じられるか、または、VM128.1の実行が終了すると直ちに、削除され得る。
そのために、ハイパーバイザ112は、バッファ142〜144のための空間をRAM118において配分するために、命令をCPU116に送り得る。バッファ142〜144のサイズは、たとえば、ランダムに選択され得る。別の例では、バッファ142〜144のサイズは、たとえば、VM128.1の先行する実行から集められた履歴データを用いて、予め定義され得る。
バッファ142〜144は、たとえば、VM状態バッファ142とメモリ・プール(または、メモリ・バッファ)144とを含み得る。
ステップ205では、VM128.1のVM命令が、実行され得る。VM128.1は、たとえば、VM命令を形成する一連の命令を含み得る。VM命令は、プロセッサ116によって、実行され得る。VM命令は、実行されるために、メモリ118からフェッチされ得る。
ステップ207では、ファームウェア124が、VM命令のうちで、命令データへのアクセスを要求するVM命令をインターセプトし得る。命令データは、VMメモリ235.1に記憶されているVMデータもしくはVM128.1の状態(VM状態)の少なくとも一部またはこれら両方を含み得る。VM状態の少なくとも一部は、実行されるためにインターセプトされたVM命令によって要求される状態であり得る。たとえば、インターセプトされたVM命令は、VM128.1のVM状態全体へのアクセスは要求しないことがあり得る。インターセプトされたVM命令は、VM128.1のVMメモリ235.1に記憶されているVMデータへのアクセスを要求することがあり得るし、要求しないこともあり得る。
たとえば、インターセプトされたVM命令は、特権的な命令を含み得る。特権的な命令とは、たとえば、I/Oコマンド、クロック・コマンドの設定、ストレージ保護のディレクティブを作成するためのメモリ・コマンドのクリアなど、CPU命令を指し得る。
たとえば、プロセッサ制御レジスタおよびテーブルにアクセスしようとする試みを含むVM命令は、ファームウェア124によってインターセプトされ得る。VM128.1は、ユーザ・モードで動作している可能性があり、これらのテーブルにアクセスすることを許されない場合があり得るが、その理由は、アクセスがアイソレーション制約条件に違反し得るからである。たとえば、VM128.1が特権的な命令(ハイパーバイザ・モードにあることを真に要求する命令)へのコールを行うときには、ファームウェア124が、ハイパーバイザに代わって、このコールまたはVM命令をインターセプトする。
ステップ209では、VM命令をインターセプトするときに、ファームウェア124が、VM状態を、シャドウVM状態バッファ140にコピーし得る。VM状態は、メモリ状態、仮想プロセッサ状態、仮想デバイス状態もしくはネットワーク接続状態またはそれらの組合せを含み得るVM実行状態を、含み得る。
ステップ211では、ファームウェア124が、命令データを、バッファ142〜144にコピーし得る。バッファ142〜144は、たとえば、インターセプトされたVM命令によって要求されるVM状態の一部だけを含み得る。シャドウVM状態バッファ140は、たとえば、ステップ209でコピーされたVM状態全体を含み得る。
ステップ213では、ハイパーバイザ112は、インターセプトされたVM命令を、バッファ142〜144を用いて、実行し得る。インターセプトされたVM命令の実行は、結果的に、バッファ142〜144において、結果データを生じさせる場合または生じさせない場合があり得る。ハイパーバイザ112は、VMメモリ235.1へのアクセスを阻止されることがあり得るし、インターセプトされたVM命令を実行するために、バッファ142〜144へのアクセスだけを有する場合があり得る。これは、ハイパーバイザ112が、相対的なLOAD、STOREもしくはADDなどの命令、または、VMメモリ235.1へのアクセスを安全ではない態様で試みることがあり得る他の命令を含むことがあり得るし、あるいは、実行することがあり得る。
インターセプトされたVM命令の実行は、命令データの少なくとも一部に変化を生じさせる、もしくは、バッファ142〜144において新たなデータを生じさせ得る、または、これらの両方を生じさせ得る。
たとえば、インターセプトされたVM命令を実行する際には、ハイパーバイザ112は、インターセプトされたVM命令に続いてVM命令の実行を再開させるために、ファームウェア124に命令を送り得る。
ステップ215では、インターセプトされたVM命令に続いてVM命令の実行を再開させる前に、シャドウVM状態バッファ140とVMメモリ235.1におけるVMデータとの少なくとも一方が、結果データを用いて、更新され得る。たとえば、ステップ215は、インターセプトされたVM命令に続いてVM命令の実行を再開させる前に、結果データを用いて、シャドウVM状態バッファ140を更新するステップを含む。別の例では、ステップ215は、インターセプトされたVM命令に続いてVM命令の実行を再開させる前に、結果データを用いて、VM状態バッファ140とVMメモリ235.1におけるVMデータとを更新するステップを含む。バッファ142〜144はインターセプトされたVM命令を実行するためにハイパーバイザ112によって用いられてきているので、バッファ142〜144のコンテンツ(結果データ)は、インターセプトされたVM命令がVMデータへのアクセスを要求する場合には、シャドウVM状態バッファ140とVMメモリ235.1におけるVMデータとを更新するために、ファームウェア124によって、用いられ得る。ステップ215は、インターセプトされたVM命令の実行が結果データを結果的に生じさせる場合に、実行され得る。
ステップ217では、インターセプトされたVM命令に続く(一連の命令における)VM命令の実行が、シャドウVM状態バッファ140に記憶されている状態に基づいて、実行され得る。
図3は、命令データをバッファ142〜144にコピーするための方法のフローチャートである。
ステップ301では、ファームウェア124が、VM状態の少なくとも一部を、(上述した命令データの)シャドウVM状態バッファ140からVM状態バッファ142にコピーし得る。別の例では、実行ステップ209の(すなわち、VM状態をシャドウVM状態バッファ140の中にコピーする)時点で、VM状態の少なくとも一部のVM状態バッファへのコピーも同様に、実行され得る。
ファームウェア124は、命令データがVMメモリ235.1に記憶されているVMデータを含むかどうか(質問303)を判断する。含む場合には、ファームウェア124は、ステップ305において、VMデータを、VMメモリ235.1からメモリ・プール144にコピーし得るのであり、ステップ307では、VM状態バッファ142において、VMメモリ235.1におけるデータへの第1のアドレスを、メモリ・プール144における対応する第2のアドレスによって置換し得る。第1のアドレスは、VMデータを含むVMメモリ235.1における位置を指す。第2のアドレスは、VMデータを含むメモリ・プール144における位置を指す。
図4は、シャドウVM状態バッファとVMメモリ235.1におけるVMデータとの少なくとも一方を更新するための方法のフローチャートである。
ステップ401では、ファームウェア124が、VM状態バッファ142に記憶されている結果データの少なくとも一部を、シャドウVM状態バッファ140にコピーし得る。たとえば、結果データは、状態結果データを含み得る。ステップ301でバッファにコピーされるVM状態の少なくとも一部は、インターセプトされたVM命令の実行の後で、変更され得る。この変更の結果の形式は、ファームウェア124によって、たとえば、インターセプトされたVM命令とインターセプトされたVM命令の引数とを読み出すことによって、計算され得る。ファームウェアは、たとえば、各命令と各命令引数とに対して入力および出力データのフォーマットもしくはサイズまたはこれら両方を指示するインターセプト可能な命令のテーブルを有し得る。この計算を実行することによって、ファームウェア124は、この計算に一致する状態結果データの一部だけをコピーし得るのであり、たとえば、VMにおけるデータ・オーバライドを回避するために時刻の値が8バイトに過ぎないことを保証する、または、時刻が合理的なタイムフレームの範囲内にあることを保証することにより、2038年問題に対抗して、VMにおけるアプリケーションへの攻撃を回避する。たとえば、状態結果データは、第1の部分と第2の部分とを含み得る。第1の部分は、結果データのうちの、ファームウェア124によって計算された部分であることが予測される。この場合、第1の部分が、シャドウVM状態バッファ140の中にコピーされ得る。
ファームウェア124は、結果データが処理されたVMデータをメモリ・プール144に含むかどうかを判断し得る(質問403)。含む場合には、ファームウェア124は、ステップ405において、処理されたVMデータの少なくとも一部を、メモリ・プール144から、第1のアドレスの関連するアドレスにコピーし得る。状態結果データの場合と同様に、処理されたVMデータの少なくとも一部は、ファームウェア124によって予測されたまたは計算された、インターセプトされたVM命令を実行する際に生成されるデータ領域を含み得る。ファームウェア124によってメモリ・プールからVMメモリにコピーされた処理済のVMデータの少なくとも一部は、メモリ・プール144における位置のアドレスを含み得る。メモリ・プールにおける位置の任意のそのようなアドレスは、VMメモリにおいて、あるアドレスにより、VMメモリにおける関連する位置に置換され得る。
ステップ407では、ファームウェア124が、シャドウVM状態バッファ140において、第2のアドレスのアドレスを、対応するアドレスによって、VMメモリ235.1におけるデータに置換し得る。
図5は、例示的な方法による、たとえばコンピュータ・システム101の、メモリ(たとえば118の)構造を図解している。
この例では、コンピュータ・システムは、zシステム・プラットフォームを含み得る。特定の仮想化構成に加えて汎用レジスタを含むデータ・ブロック(SIE−ブロック)を記述するVM状態542を取る1つの命令(解釈実行開始)が存在する。たとえばハイパーバイザ112がSIE命令を発行すると、ファームウェア124は、VMの仮想CPUを設定するのに必要なステップを行い、実行を開始/継続する。これは、仮想化が停止するまで行われるのであるが、その理由は、限定されたリソースをエミュレート/仮想化するために、または、何らかのリソースへのアクセスを支配するために、ハイパーバイザ112が必要とされ得るからである。そのような場合に、ファームウェア124は、そのインターセプトのための理由コードに加えてVM状態もセーブすることがあり得る。この実装は、現在/直前の理由コードが許容するように、ファームウェア124だけがアクセス可能なメモリにおける(シャドウVM状態バッファ140などの)シャドウSIE−ブロック540と、(VM状態バッファ142などの)ハイパーバイザSIE−ブロック542との間でのコピー・データだけとから、構成され得る。
一例として、たとえばゲストまたはVM128.1は、タイマをセットするために、汎用レジスタにおいて特定された値を用いて、命令を発行し得る。ファームウェア124は、その汎用レジスタと理由コードだけを、ハイパーバイザSIE−ブロック542にコピーし得るのであるが、それにより、ハイパーバイザ112は、そのVM128.1のためのタイマを設定し得る。ハイパーバイザSIE−ブロック542の内部のすべての他のフィールドは、ランダム・データで満たすことが可能である。ハイパーバイザ112がVMリクエストを満たし、別のSIE命令を発行することによって継続した後で、ファームウェア124は、ハイパーバイザSIE−ブロック542からのデータ(たとえば、タイマを設定するための条件コードの成功)をファームウェアSIE−ブロック540に戻すようにコピーして、実際のSIE命令を発行する。
以上で説明された方法は、(仮想システム・メモリ135などの)VMメモリ531への参照を要求しないすべてのVMインターセプションに対して機能し得る。あるインターセプトにおいて、VMメモリ位置が汎用レジスタにおいて参照される場合(たとえば、zシステムにおける「システム情報を記憶」という命令)には、コンテンツだけではなくてVMメモリ位置も、ハイパーバイザ112がアクセス可能な(メモリ・プール144などの)プロキシ・ページ544のプールにリダイレクトされる。
VM定義の間、ハイパーバイザ112は、VM128.1と関連するプロキシ・ページのために用いられるメモリ領域544を予約し、これらのページをファームウェア124へのプロキシ・ページとして公表し得る。インターセプトの場合には、ファームウェア124は、要求されたデータ・アイテムを、VMメモリ531から、VM128.1と関連するプロキシ・ページ544にコピーし、汎用レジスタまたはハイパーバイザSIE−ブロック540における参照を、そのプロキシ・ページにおける位置に変更し、ファームウェア124は、次に、インターセプトの理由コードを用いて、ハイパーバイザ112への制御を与える。ハイパーバイザ112は、VM128.1によって予測された情報を、プロキシ・ページ544における参照されたアドレスに書き込み得るのであり、SIE命令を発行することによって、VM128.1を継続する。ファームウェア124は、次に、必要な場合には、ハイパーバイザ112によって書き込まれたデータを、プロキシ・ページ544から、VMメモリ531にコピーして戻す。
本明細書では、本発明の諸態様が、本発明の実施形態による方法、装置(システム)およびコンピュータ・プログラム製品のフローチャート図もしくはブロック図またはその両方を参照して説明されている。フローチャート図もしくはブロック図またはその両方の各ブロックと、フローチャート図もしくはブロック図またはその両方の複数のブロックの組合せとは、コンピュータ可読プログラム命令によって実装され得る、ということが理解されるであろう。
本発明は、システム、方法もしくはコンピュータ・プログラム製品またはこれらの組合せであり得る。コンピュータ・プログラム製品は、プロセッサに本発明の諸態様を実行させるコンピュータ可読プログラム命令が記憶された(1つまたは複数の)コンピュータ可読記憶媒体を含み得る。
コンピュータ可読記憶媒体は、命令実行デバイスが用いるための命令を保持し記憶することが可能な有形のデバイスであり得る。コンピュータ可読記憶媒体は、たとえば、以下に限定されることはないが、電子ストレージ・デバイス、磁気ストレージ・デバイス、光ストレージ・デバイス、電磁気ストレージ・デバイス、半導体ストレージ・デバイス、または前述の任意の適切な組合せであり得る。コンピュータ可読記憶媒体のより具体的な例の非網羅的リストには、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、リード・オンリ・メモリ(ROM)、消去可能でプログラマブルなリード・オンリ・メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク・リード・オンリ・メモリ(CD−ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリ・スティック、フレキシブル・ディスク、パンチカードまたは記録された命令を有する溝中における凸状構造体など機械的にエンコードされたデバイス、および前述の任意の適切な組合せが含まれる。本明細書で用いられるコンピュータ可読記憶媒体は、無線波もしくは他の自由に伝搬する電磁波、導波管もしくは他の伝送媒体を介して伝搬する電磁波(たとえば、光ファイバ・ケーブルを介して通過する光パルス)、またはワイヤを通って伝送される電気信号などの、一時的な信号自体としては、解釈されるべきでない。
本明細書で説明されているコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、または、たとえばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワークもしくはワイヤレス・ネットワークまたはこれらの組合せなどのネットワークを介して外部のコンピュータまたは外部のストレージ・デバイスに、ダウンロードすることができる。このネットワークは、銅の伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイヤウォール、スイッチ、ゲートウエイ・コンピュータ、もしくはエッジ・サーバまたはこれらの組合せを含み得る。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイスにおけるコンピュータ可読記憶媒体に記憶するために、転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データであり得るし、または、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または類似のプログラミング言語などの従来の手続き型プログラミング言語を含めて、1つまたは複数のプログラミング言語の任意の組合せで記述されたソース・コードもしくはオブジェクト・コードであり得る。このコンピュータ可読プログラム命令は、スタンドアロン・ソフトウェア・パッケージとして、ユーザのコンピュータで全体を実行することも、一部をユーザのコンピュータで実行することも、一部をユーザのコンピュータで一部をリモート・コンピュータで実行することも、または、リモート・コンピュータもしくはサーバで全体を実行することもできる。後者のシナリオでは、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含む任意の種類のネットワークを介して、リモート・コンピュータをユーザのコンピュータに接続することができ、または、(たとえばインターネット・サービス・プロバイダを使いインターネットを介して)外部のコンピュータへの接続を行うことも可能である。いくつかの実施形態では、本発明の態様を実行するために、たとえば、プログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路が、コンピュータ可読プログラム命令の状態情報を用いてその電子回路を個別化することにより、コンピュータ可読プログラム命令を実行し得る。
本発明の態様は、本発明の実施形態による方法、装置(システム)およびコンピュータ・プログラム製品のフローチャート図もしくはブロック図またはその両方を参照しながら、本明細書で説明されている。フローチャート図もしくはブロック図またはその両方の各ブロックと、フローチャート図もしくはブロック図またはその両方における複数のブロックの組合せとを、コンピュータ可読プログラム命令によって実装できることが、理解されるであろう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行されるこれらの命令が、フローチャートもしくはブロック図またはその両方の1つもしくは複数のブロックにおいて指定されている機能/動作を実装するための手段を生成するように、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに提供されて、マシンを作り出すものであってよい。また、これらのコンピュータ可読プログラム命令は、命令が記憶されているコンピュータ可読記憶媒体が、フローチャートもしくはブロック図またはその両方の1つまたは複数のブロックにおいて指定されている機能/動作の態様を実装する命令を含む製品を含むように、コンピュータ可読記憶媒体に記憶され、コンピュータ、プログラム可能データ処理装置、もしくは他のデバイスまたはこれらの組合せに対し、特定の態様で機能するように命令するものであってもよい。
さらに、コンピュータ可読プログラム命令は、コンピュータ、他のプログラム可能装置、または他のデバイス上で実行される命令が、フローチャートもしくはブロック図またはその両方の1つもしくは複数のブロックにおいて指定される機能群/動作群を実装するように、コンピュータ実装プロセスを生成させるべく、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラム可能装置、または他のデバイス上で一連の動作ステップを実行させるものであってもよい。
図面におけるフローチャートおよびブロック図は、本発明の様々な実施形態による、システム、方法、およびコンピュータ・プログラム製品の可能な実装例のアーキテクチャ、機能、および動作を図解している。この点で、フローチャートまたはブロック図における各ブロックは、特定の論理機能を実装するための1つもしくは複数の実行可能な命令を含む、モジュール、セグメント、または命令の一部を表し得る。いくつかの別の実装例では、ブロックに記載された機能が、図面に記載された順序とは異なる順序で生じることがあり得る。たとえば、連続して示されている2つのブロックが、関与する機能に応じて、実際には、実質的に同時に実行されることがあり得るし、時には、これらのブロックが逆の順序で実行されることもあり得る。さらに、ブロック図もしくはフローチャート図またはその両方の各ブロック、およびブロック図もしくはフローチャート図またはその両方における複数のブロックの組合せが、特定の機能もしくは動作を実行するまたは専用のハードウェアとコンピュータ命令との組合せを実行する、専用のハードウェア・ベースのシステムによって実装され得ることにも留意すべきである。
本発明は、以下の特徴の組合せによって記載され得る。
1.透明で安全なインターセプション処理のためのコンピュータ実装方法であって、
仮想マシンVMを、ハイパーバイザおよびファームウェアを含む環境において展開するステップであって、ハイパーバイザはハードウェア上で動作し、ファームウェアはハードウェアと仮想マシンの状態とを管理し、仮想マシンは環境の対応するVMメモリにアクセスするように構成されている、展開するステップと、
仮想マシンを展開する際には、ハイパーバイザによって、ファームウェアにバッファを提供するステップと、
仮想マシンのVM命令を実行するステップと、
VM命令のうちの、命令データへのアクセスを要求するVM命令を、ファームウェアによってインターセプトするステップであって、命令データは、VMメモリに記憶されているVMデータと仮想マシンの状態であるVM状態の少なくとも一部との少なくとも一方を含む、インターセプトするステップと、
VM命令がインターセプトされる際には、ファームウェアによって、VM状態を、ファームウェアが有するシャドウVM状態バッファにコピーするステップと、
ファームウェアにより、命令データをバッファにコピーするステップと、
バッファを用いて、インターセプトされたVM命令をハイパーバイザによって実行するステップと、
インターセプトされたVM命令の実行が結果的に結果データを生じさせる場合には、インターセプトされたVM命令に続いてVM命令の実行を再開する前に、シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を、バッファにおける結果データを用いて、更新するステップと、
シャドウVM状態バッファに記憶されている状態に基づき、インターセプトされたVM命令に続いて、VM命令の実行を再開するステップと、
を含む方法。
2.バッファはVM状態バッファとメモリ・プールとを含んでおり、命令データをバッファにコピーするステップは、
ファームウェアによって、VM状態の少なくとも一部を、シャドウVM状態バッファからVM状態バッファにコピーするステップと、
命令データが、VMメモリに記憶されているVMデータを含む場合には、ファームウェアによって、VMデータを、VMメモリからメモリ・プールにコピーするステップと、
ファームウェアによって、VM状態バッファにおいて、VMメモリにおけるデータへの第1のアドレスを、メモリ・プールにおける対応する第2のアドレスによって置換するステップと、
を含む、特徴の組合せ1に記載の方法。
3.シャドウVM状態バッファとVMメモリにおけるVMデータとの少なくとも一方を更新するステップは、
メモリ・プールにおける処理されたVMデータを結果データが含むという判断に応答して、処理されたVMデータの少なくとも一部を、メモリ・プールから第1のアドレスの関連するアドレスへ、ファームウェアによって、コピーするステップと、
VM状態バッファに記憶されている結果データの少なくとも一部を、ファームウェアによって、シャドウVM状態バッファにコピーするステップと、
シャドウVM状態バッファにおいて、第2のアドレスのアドレスを、VMメモリにおけるデータへの対応するアドレスに、ファームウェアによって、置換するステップと、
を含む、特徴の組合せ2に記載の方法。
4.処理されたVMデータの少なくとも一部は、インターセプトされたVM命令を用いてファームウェアによって決定された予測データと、インターセプトされたVM命令の引数とを含む、特徴の組合せ3に記載の方法。
5.命令データは、インターセプトされたVM命令とインターセプトされたVM命令の引数とを用いて、ファームウェアによって決定される、特徴の組合せ1ないし4のいずれかに記載の方法。
6.仮想マシンを展開する際には、ハイパーバイザがVMメモリにアクセスすることを防止するステップをさらに含む、特徴の組合せ1ないし5のいずれかに記載の方法。
7.メモリ・プールとVM状態のためのバッファとにおける未使用のデータ位置を、ファームウェアによって、フェイク・データを用いて満たすステップをさらに含む、特徴の組合せ2ないし6のいずれかに記載の方法。
8.フェイク・データは、ランダム・データとゼロとの少なくとも一方を含む、特徴の組合せ7に記載の方法。
9.インターセプトされたVM命令をハイパーバイザによって実行するステップは、インターセプトされたVM命令に続くVM命令の実行を再開することをハイパーバイザによって要求するステップをさらに含む、特徴の組合せ1ないし8のいずれかに記載の方法。
10.ファームウェアによって、仮想マシンの状態を、ファームウェアが有するシャドウVM状態バッファにコピーするステップは、仮想マシンのために仮想CPUであるvCPUをセットアップする際に、または、vCPU上でVM命令を実行する際に、実行される、特徴の組合せ1ないし9のいずれかに記載の方法。
120 ストレージ・デバイス
122 チップセット
602 プロセッサ
608 コンピュータ可読記憶媒体
610 オペレーティング・システム
611 アプリケーション・プログラム
612 デバイス・ドライバ
614 R/Wドライブまたはインターフェース
616 ネットワーク・アダプタまたはインターフェース
617 ネットワーク・アダプタまたはインターフェース
626 ポータブル・コンピュータ可読記憶媒体
800 ハードウェアおよびソフトウェア
870 仮想化
880 管理
890 ワークロード

Claims (13)

  1. 透明で安全なインターセプション処理のためのコンピュータ実装方法であって、
    仮想マシンVMを、ハイパーバイザおよびファームウェアを含む環境において展開するステップであって、前記ハイパーバイザはハードウェア上で動作し、前記ファームウェアは前記ハードウェアと前記仮想マシンの状態とを管理し、前記仮想マシンは前記環境の対応するVMメモリにアクセスするように構成されている、前記展開するステップと、
    前記仮想マシンを展開する際には、前記ハイパーバイザによって、前記ファームウェアにバッファを提供するステップと、
    前記仮想マシンのVM命令を実行するステップと、
    前記VM命令のうちの、命令データへのアクセスを要求するVM命令を、前記ファームウェアによってインターセプトするステップであって、前記命令データは、前記VMメモリに記憶されているVMデータと前記仮想マシンの前記状態であるVM状態の少なくとも一部との少なくとも一方を含む、前記インターセプトするステップと、
    前記VM命令が前記インターセプトされる際には、前記ファームウェアによって、前記VM状態を、前記ファームウェアが有するシャドウVM状態バッファにコピーするステップと、
    前記ファームウェアにより、前記命令データを前記バッファにコピーするステップと、
    前記バッファを用いて、前記インターセプトされたVM命令を前記ハイパーバイザによって実行するステップと、
    前記インターセプトされたVM命令の前記実行が結果的に結果データを生じさせる場合には、前記インターセプトされたVM命令に続いて前記VM命令の実行を再開する前に、前記シャドウVM状態バッファと前記VMメモリにおける前記VMデータとの少なくとも一方を、前記バッファにおける前記結果データを用いて、更新するステップと、
    前記シャドウVM状態バッファに記憶されている前記状態に基づき、前記インターセプトされたVM命令に続いて、前記VM命令の実行を再開するステップと、
    を含む方法。
  2. 前記バッファはVM状態バッファとメモリ・プールとを含んでおり、前記命令データを前記バッファにコピーするステップは、
    前記ファームウェアによって、前記VM状態の少なくとも一部を、前記シャドウVM状態バッファから前記VM状態バッファにコピーするステップと、
    前記命令データが、前記VMメモリに記憶されているVMデータを含む場合には、前記ファームウェアによって、前記VMデータを、前記VMメモリから前記メモリ・プールにコピーするステップと、
    前記ファームウェアによって、前記VM状態バッファにおいて、前記VMメモリにおけるデータへの第1のアドレスを、前記メモリ・プールにおける対応する第2のアドレスによって置換するステップと、
    を含む、請求項1に記載の方法。
  3. 前記シャドウVM状態バッファと前記VMメモリにおける前記VMデータとの少なくとも一方を更新するステップは、
    前記メモリ・プールにおける処理されたVMデータを前記結果データが含むという判断に応答して、前記処理されたVMデータの少なくとも一部を、前記メモリ・プールから前記第1のアドレスの関連するアドレスへ、前記ファームウェアによって、コピーするステップと、
    前記VM状態バッファに記憶されている前記結果データの少なくとも一部を、前記ファームウェアによって、前記シャドウVM状態バッファにコピーするステップと、
    前記シャドウVM状態バッファにおいて、前記第2のアドレスのアドレスを、前記VMメモリにおけるデータへの対応するアドレスに、前記ファームウェアによって、置換する
    ステップと、
    を含む、請求項2に記載の方法。
  4. 前記処理されたVMデータの前記少なくとも一部は、前記インターセプトされたVM命令を用いて前記ファームウェアによって決定された予測データと、前記インターセプトされたVM命令の引数とを含む、請求項3に記載の方法。
  5. 前記命令データは、前記インターセプトされたVM命令と前記インターセプトされたVM命令の引数とを用いて、前記ファームウェアによって決定される、請求項1に記載の方法。
  6. 前記仮想マシンを展開する際には、前記ハイパーバイザが前記VMメモリにアクセスすることを防止するステップをさらに含む、請求項1に記載の方法。
  7. 前記メモリ・プールと前記VM状態のための前記バッファとにおける未使用のデータ位置を、前記ファームウェアによって、フェイク・データを用いて満たすステップをさらに含む、請求項2に記載の方法。
  8. 前記フェイク・データは、ランダム・データとゼロとの少なくとも一方を含む、請求項7に記載の方法。
  9. 前記インターセプトされたVM命令を前記ハイパーバイザによって実行するステップは、前記インターセプトされたVM命令に続く前記VM命令の前記実行を再開することを前記ハイパーバイザによって要求するステップをさらに含む、請求項1に記載の方法。
  10. 前記ファームウェアによって、前記仮想マシンの前記状態を、前記ファームウェアが有する前記シャドウVM状態バッファにコピーするステップは、前記仮想マシンのために仮想CPUであるvCPUをセットアップする際に、または、前記vCPU上で前記VM命令を実行する際に、実行される、請求項1に記載の方法。
  11. 請求項1〜10の何れか1項に記載の方法の各ステップ、コンピュータ・ハードウェアによる手段として構成した、コンピュータ・システム。
  12. 請求項1〜10の何れか1項に記載の方法の各ステップを、コンピュータに実行させる、コンピュータ・プログラム。
  13. 請求項12に記載の前記コンピュータ・プログラムを、コンピュータ可読記録媒体に記録した、記録媒体
JP2016239502A 2015-12-17 2016-12-09 透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラム Active JP6802052B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/972,280 US10019279B2 (en) 2015-12-17 2015-12-17 Transparent secure interception handling
US14/972280 2015-12-17

Publications (2)

Publication Number Publication Date
JP2017111812A JP2017111812A (ja) 2017-06-22
JP6802052B2 true JP6802052B2 (ja) 2020-12-16

Family

ID=58222145

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016239502A Active JP6802052B2 (ja) 2015-12-17 2016-12-09 透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラム

Country Status (3)

Country Link
US (2) US10019279B2 (ja)
JP (1) JP6802052B2 (ja)
GB (1) GB2546609B (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10019279B2 (en) 2015-12-17 2018-07-10 International Business Machines Corporation Transparent secure interception handling
US11188651B2 (en) * 2016-03-07 2021-11-30 Crowdstrike, Inc. Hypervisor-based interception of memory accesses
US11099789B2 (en) 2018-02-05 2021-08-24 Micron Technology, Inc. Remote direct memory access in multi-tier memory systems
US10782908B2 (en) 2018-02-05 2020-09-22 Micron Technology, Inc. Predictive data orchestration in multi-tier memory systems
US10877892B2 (en) 2018-07-11 2020-12-29 Micron Technology, Inc. Predictive paging to accelerate memory access
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage
US11068310B2 (en) 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
US10956188B2 (en) 2019-03-08 2021-03-23 International Business Machines Corporation Transparent interpretation of guest instructions in secure virtual machine environment
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11182192B2 (en) 2019-03-08 2021-11-23 International Business Machines Corporation Controlling access to secure storage of a virtual machine
US11283800B2 (en) 2019-03-08 2022-03-22 International Business Machines Corporation Secure interface control secure storage hardware tagging
US10852949B2 (en) 2019-04-15 2020-12-01 Micron Technology, Inc. Predictive data pre-fetching in a data storage device
US10915426B2 (en) 2019-06-06 2021-02-09 International Business Machines Corporation Intercepting and recording calls to a module in real-time
US11036619B2 (en) 2019-06-06 2021-06-15 International Business Machines Corporation Bypassing execution of a module in real-time
US11074069B2 (en) 2019-06-06 2021-07-27 International Business Machines Corporation Replaying interactions with transactional and database environments with re-arrangement
US11016762B2 (en) 2019-06-06 2021-05-25 International Business Machines Corporation Determining caller of a module in real-time
US10929126B2 (en) 2019-06-06 2021-02-23 International Business Machines Corporation Intercepting and replaying interactions with transactional and database environments
CN110955885B (zh) * 2019-11-28 2022-11-22 亚信科技(成都)有限公司 一种数据写入方法及装置
US11449601B2 (en) * 2020-01-08 2022-09-20 Red Hat, Inc. Proof of code compliance and protected integrity using a trusted execution environment

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4792895A (en) 1984-07-30 1988-12-20 International Business Machines Corp. Instruction processing in higher level virtual machines by a real machine
US5371867A (en) 1992-11-10 1994-12-06 International Business Machines Corporation Method of using small addresses to access any guest zone in a large memory
US7103529B2 (en) * 2001-09-27 2006-09-05 Intel Corporation Method for providing system integrity and legacy environment emulation
US8627315B2 (en) 2004-12-31 2014-01-07 Intel Corporation Apparatus and method for cooperative guest firmware
JP2008181228A (ja) 2007-01-23 2008-08-07 Sony Corp 管理システムおよび管理方法、端末装置、管理サーバ、並びにプログラム
US8127292B1 (en) 2007-06-22 2012-02-28 Parallels Holdings, Ltd. Virtualization system with hypervisor embedded in bios or using extensible firmware interface
JP4678396B2 (ja) 2007-09-25 2011-04-27 日本電気株式会社 仮想マシンモニタをモニタするコンピュータとその方法、および仮想マシンモニタモニタプログラム
US8607013B2 (en) 2007-10-30 2013-12-10 Vmware, Inc. Providing VMM access to guest virtual memory
CN101179379A (zh) 2007-12-11 2008-05-14 中兴通讯股份有限公司 用于微波接入全球互通系统的固件安全管理方法
CN101470783B (zh) 2007-12-25 2010-09-01 中国长城计算机深圳股份有限公司 一种基于可信平台模块的身份识别方法及装置
US8479196B2 (en) 2009-09-22 2013-07-02 International Business Machines Corporation Nested virtualization performance in a computer system
EP2348450B1 (en) 2009-12-18 2013-11-06 CompuGroup Medical AG Database system, computer system, and computer-readable storage medium for decrypting a data record
US8671405B2 (en) * 2010-03-31 2014-03-11 Microsoft Corporation Virtual machine crash file generation techniques
US8909928B2 (en) 2010-06-02 2014-12-09 Vmware, Inc. Securing customer virtual machines in a multi-tenant cloud
US8856504B2 (en) 2010-06-07 2014-10-07 Cisco Technology, Inc. Secure virtual machine bootstrap in untrusted cloud infrastructures
US8490090B2 (en) 2011-02-17 2013-07-16 International Business Machines Corporation Multilevel support in a nested virtualization environment
US8875240B2 (en) 2011-04-18 2014-10-28 Bank Of America Corporation Tenant data center for establishing a virtual machine in a cloud environment
US8788763B2 (en) 2011-10-13 2014-07-22 International Business Machines Corporation Protecting memory of a virtual guest
EP2795464B1 (en) 2011-12-22 2019-01-23 Intel Corporation Enabling efficient nested virtualization
EP2798860A1 (en) 2011-12-29 2014-11-05 Telefonaktiebolaget LM Ericsson (Publ) Virtual machine management using a downloadable subscriber identity module
US20140053272A1 (en) 2012-08-20 2014-02-20 Sandor Lukacs Multilevel Introspection of Nested Virtual Machines
US9389898B2 (en) 2012-10-02 2016-07-12 Ca, Inc. System and method for enforcement of security controls on virtual machines throughout life cycle state changes
GB2515536A (en) 2013-06-27 2014-12-31 Ibm Processing a guest event in a hypervisor-controlled system
US9203855B1 (en) 2014-05-15 2015-12-01 Lynx Software Technologies, Inc. Systems and methods involving aspects of hardware virtualization such as hypervisor, detection and interception of code or instruction execution including API calls, and/or other features
US9841987B2 (en) 2015-12-17 2017-12-12 International Business Machines Corporation Transparent secure interception handling
US10019279B2 (en) 2015-12-17 2018-07-10 International Business Machines Corporation Transparent secure interception handling

Also Published As

Publication number Publication date
US10019279B2 (en) 2018-07-10
GB201620899D0 (en) 2017-01-25
GB2546609B (en) 2019-03-13
US20180285143A1 (en) 2018-10-04
US10838755B2 (en) 2020-11-17
US20170177392A1 (en) 2017-06-22
JP2017111812A (ja) 2017-06-22
GB2546609A (en) 2017-07-26

Similar Documents

Publication Publication Date Title
JP6802052B2 (ja) 透明で安全なインターセプション処理のための方法、コンピュータ・システム、ファームウェア、ハイパーバイザおよびコンピュータ・プログラム
US9841987B2 (en) Transparent secure interception handling
US9529620B1 (en) Transparent virtual machine offloading in a heterogeneous processor
JP7386882B2 (ja) セキュア仮想マシン環境におけるゲスト命令の透過的解釈
JP7465046B2 (ja) 割り込み及び例外をセキュア仮想マシンにインジェクトする
CN113826072A (zh) 系统管理模式中的代码更新
AU2020234887B2 (en) Dispatch of a secure virtual machine
US11119810B2 (en) Off-the-shelf software component reuse in a cloud computing environment
US11656888B2 (en) Performing an application snapshot using process virtual machine resources
US20230015103A1 (en) Live updating a virtual machine virtualizing physical resources
US11960917B2 (en) Live migration and redundancy for virtualized storage
表祐志 Computer Systems Management with a Para Pass-through Virtual Machine Monitor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190513

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201126

R150 Certificate of patent or registration of utility model

Ref document number: 6802052

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150