JP7373578B2 - セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム - Google Patents

セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム Download PDF

Info

Publication number
JP7373578B2
JP7373578B2 JP2021551892A JP2021551892A JP7373578B2 JP 7373578 B2 JP7373578 B2 JP 7373578B2 JP 2021551892 A JP2021551892 A JP 2021551892A JP 2021551892 A JP2021551892 A JP 2021551892A JP 7373578 B2 JP7373578 B2 JP 7373578B2
Authority
JP
Japan
Prior art keywords
secure
entity
guest
storage
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021551892A
Other languages
English (en)
Other versions
JP2022523787A (ja
JPWO2020183317A5 (ja
Inventor
ヘラー、リサ
ブサバ、ファディ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2022523787A publication Critical patent/JP2022523787A/ja
Publication of JPWO2020183317A5 publication Critical patent/JPWO2020183317A5/ja
Application granted granted Critical
Publication of JP7373578B2 publication Critical patent/JP7373578B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45545Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45575Starting, stopping, suspending or resuming virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Description

本発明は、一般に、コンピュータ技術に関し、より詳細には、セキュア仮想マシン(VM:virtual machine)環境においてセキュア・インターフェース制御によって使用されるストレージ保護ハードウェアをテストするためのモードに関する。
クラウド・コンピューティングおよびクラウド・ストレージは、サード・パーティのデータ・センターにデータを格納してデータをそこで処理する機能をユーザに提供する。クラウド・コンピューティングは、顧客がハードウェアを購入することも、物理サーバ用のフロアスペースを設けることも必要とせずに、顧客向けにVMを迅速かつ簡単にプロビジョニングする能力を容易化する。顧客は、顧客の好みまたは要件の変化に依って、VMを簡単に拡張または縮小することができる。典型的には、クラウド・コンピューティング・プロバイダがVMをプロビジョニングし、VMは、プロバイダのデータ・センターにあるサーバ上に物理的に常駐している。特にコンピューティング・プロバイダが2人以上の顧客のデータを同じサーバ上に格納することが多いので、顧客は、しばしばVM内のデータのセキュリティについて懸念する。顧客は、自分のコード/データとクラウド・コンピューティング・プロバイダのコード/データとの間のセキュリティ、および自分のコード/データとプロバイダのサイトで実行されている他のVMのコード/データとの間のセキュリティを望む場合がある。さらに、顧客は、プロバイダの管理者からのセキュリティ、およびマシン上で実行されている他のコードからの潜在的なセキュリティ違反に対するセキュリティを望む場合がある。
このような機密な状況に対処するために、クラウド・サービス・プロバイダは、適切なデータ分離および論理ストレージの区分化を保証するためのセキュリティ制御を実装する場合がある。クラウド・インフラストラクチャを実装する際に仮想化を広範に使用すると、仮想化によって、オペレーティング・システム(OS)と、コンピューティング・ハードウェア、ストレージ・ハードウェア、またはさらにはネットワーク・ハードウェアという基盤となるハードウェアとの間の関係が変化するので、クラウド・サービスの顧客に固有のセキュリティ上の懸念が生じる。これにより、仮想化は、層自体を適切に構成、管理、および保護する必要がある追加の層として導入される。
一般に、ホスト・ハイパーバイザの制御下でゲストとして実行されるVMは、そのハイパーバイザに依存して、そのゲストに仮想化サービスを透過的に提供する。これらのサービスには、メモリ管理、命令エミュレーション、および割り込み処理が含まれる。
メモリ管理の場合、VMはそのデータをディスクから移動(ページ・イン)させてメモリに常駐させることができ、VMはそのデータをディスクに戻す(ページ・アウト)こともできる。ページがメモリに常駐している間、VM(ゲスト)は、動的アドレス変換(DAT:dynamic address translation)を使用して、メモリ内のページをゲスト仮想アドレスからゲスト絶対アドレスにマッピングする。さらに、ホスト・ハイパーバイザは、メモリ内のゲスト・ページの独自の(ホスト仮想アドレスからホスト絶対アドレスへの)DATマッピングを有し、単独で、またゲストにとって透過的に、ゲスト・ページをメモリにページ・インおよびメモリからページ・アウトすることができる。ハイパーバイザが2つの別々のゲストVM間でゲスト・メモリのメモリ分離または共有を実現する場合、ホストDATテーブルを介して実現される。ホストは、ゲスト・メモリにアクセスし、必要に依ってゲストに代わってゲスト動作をシミュレートすることも可能である。
本発明の1つまたは複数の実施形態によれば、非限定的で例示的な方法は、ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することを含む。ホスト・サーバのセキュア・インターフェース制御によって、ホスト・サーバが補助セキュア(AS:auxiliary-secure)エンティティをテストするためのASデバッグ・モードであるかどうかが判定される。ホスト・サーバがASデバッグ・モードであるとの判定に基づいて、セキュア・ゲスト・エンティティ状態が、セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードされて、セキュア・エンティティのディスパッチ時に、セキュアであり、ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストする。技術的な効果および利点には、テスト中にセキュア・インターフェース制御のインフラストラクチャが動作することを必要とせずに、セキュア・インターフェース制御によって利用されるハードウェアをテストする能力が含まれ得る。これは、ハードウェアのより早期のより包括的なテストにつながる可能性がある。
本発明の追加のまたは代替の実施形態によれば、セキュア・エンティティがディスパッチされる。技術的な効果および利点には、ハードウェアのテストを実行することが含まれ得る。
本発明の追加のまたは代替の実施形態によれば、ASエンティティ状態は、ドメインおよびモード・ビットを含む。
本発明の追加のまたは代替の実施形態によれば、判定することは、1つまたは複数のハードウェア・ビットに基づく。
本発明の追加のまたは代替の実施形態によれば、ホスト・サーバがASデバッグ・モードではないとの判定に基づいて、セキュア・ゲスト・エンティティ状態をセキュア・エンティティの状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードして、セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストする。技術的な効果および利点には、セキュア・ゲストによって利用されるハードウェアをテストする能力が含まれ得る。
本発明の追加のまたは代替の実施形態によれば、信頼されていないエンティティはハイパーバイザであり、セキュア・エンティティはセキュア仮想マシン(VM)である。
本発明の追加のまたは代替の実施形態によれば、セキュア・エンティティはテスト・ケースである。
本発明の1つまたは複数の実施形態によれば、非限定的で例示的な方法は、ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することを含む。ホスト・サーバのセキュア・インターフェース制御によって、セキュア・エンティティが補助セキュア(AS)エンティティをテストするためのASモードであるかどうかが判定される。セキュア・エンティティがASデバッグ・モードであるとの判定に基づいて、ASエンティティ状態が、セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードされて、セキュア・エンティティのディスパッチ時に、セキュアであり、ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストする。技術的な効果および利点には、テスト中にセキュア・インターフェース制御のインフラストラクチャが動作することを必要とせずに、セキュア・インターフェース制御によって利用されるハードウェアをテストする能力が含まれ得る。これは、ハードウェアのより早期のより包括的なテストにつながる可能性がある。
本発明の追加のまたは代替の実施形態によれば、セキュア・エンティティがASデバッグ・モードであるとの判定に基づいて、ホスト・サーバのセキュア・インターフェース制御によって、セキュア・ゲスト・エンティティがセキュア・ゲスト・モードでもあるかどうかが判定される。セキュア・エンティティがセキュア・ゲスト・モードでもあるとの判定に基づいて、セキュア・ゲスト・エンティティ状態が、セキュア・エンティティの状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードされて、セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストする。技術的な効果および利点には、ASエンティティとセキュア・ゲスト・エンティティの両方をテストする能力が含まれ得る。
本発明の追加のまたは代替の実施形態によれば、セキュア・エンティティがディスパッチされる。技術的な効果および利点には、ハードウェアのテストを実行すること含まれ得る。
本発明の追加のまたは代替の実施形態によれば、セキュア・ゲスト・エンティティ状態は、ドメインおよびモード・ビットを含む。
本発明の追加のまたは代替の実施形態によれば、ASエンティティ状態は、ドメインおよびモード・ビットを含む。
本発明の追加のまたは代替の実施形態によれば、判定することは、セキュア・エンティティの状態記述子内のビットに基づく。
本発明の追加のまたは代替の実施形態によれば、信頼されていないエンティティはハイパーバイザであり、セキュア・エンティティはセキュア仮想マシン(VM)である。
本発明の追加のまたは代替の実施形態によれば、セキュア・エンティティはテスト・ケースである。
本発明の他の実施形態は、コンピュータ・システムおよびコンピュータ・プログラム製品における上記の方法の特徴を実装する。
本開示の技術を通じて、追加の特徴および利点が実現される。本発明の他の実施形態および態様は、本明細書に詳細に記載されており、本発明の一部と見なされる。利点および特徴を備えた本発明をより良く理解するために、説明および図面を参照されたい。
本明細書の添付の特許請求の範囲において、本明細書に記載の排他的権利の詳細を具体的に取り上げ、明確に特許請求している。添付図面と併せて行う以下の詳細な説明から、本発明の実施形態の前述および他の特徴ならびに利点が明らかになる。
本発明の1つまたは複数の実施形態による、ゾーン・セキュリティに関するテーブルである。 本発明の1つまたは複数の実施形態による、DATを実行するための仮想アドレス空間および絶対アドレス空間を示す図である。 本発明の1つまたは複数の実施形態による、ハイパーバイザの下で実行している仮想マシン(VM:virtual machine)をサポートするためのネストされたマルチ・パート動的アドレス変換(DAT)を示す図である。 本発明の1つまたは複数の実施形態による、セキュア・ゲスト・ストレージのマッピングを示す図である。 本発明の1つまたは複数の実施形態による、DAT動作のシステム概略図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御メモリのシステム概略図である。 本発明の1つまたは複数の実施形態による、インポート動作のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、インポート動作のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、提供されたメモリ動作のプロセスを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御の非セキュア・ハイパーバイザ・ページからセキュア・ページへの移行のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御によって行われるセキュア・ストレージ・アクセスのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御およびハードウェアによるアクセス・タグ付けのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、プログラムおよびセキュア・インターフェース制御によってセキュア・アクセスおよび非セキュア・アクセスをサポートするための変換のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、プログラムおよびセキュア・インターフェース制御によるセキュア・ストレージ保護を備えたDATのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュアVMを開始するためのテスト・ケースのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、状態記述子の一例を示す図である。 本発明の1つまたは複数の実施形態による、セキュアVMを開始するためのテスト・ケースのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、クラウド・コンピューティング環境を示す図である。 本発明の1つまたは複数の実施形態による、抽象化モデル層を示す図である。 本発明の1つまたは複数の実施形態による、システムを示す図である。 本発明の1つまたは複数の実施形態による、処理システムを示す図である。
本明細書に示されている図は例示的なものである。本発明の思想から逸脱することなく、図またはそこに記載されている動作に対する多くの変形形態が存在し得る。例えば、アクションを異なる順序で実行することができ、またはアクションを追加、削除、もしくは変更することができる。また、「結合された」という用語、およびその変形は、2つの要素間に通信経路を有することを表しており、要素間に介在する要素/接続がない、要素間の直接接続を意味するものではない。これらの変形形態はすべて、本明細書の一部と見なされる。
本発明の1つまたは複数の実施形態は、セキュア・インターフェース制御によって利用されるハードウェアが、セキュア・インターフェース制御によって使用されるデータ構造への不正アクセスを防止するように適切に機能していることを検証する。本明細書でさらに説明するように、セキュア・インターフェース制御は、コンピュータ・システム上で実行される仮想マシン(VM)にセキュア環境を提供する。本発明の1つまたは複数の実施形態によれば、ハードウェアの検証は、ハードウェアを特別なテスト・モードにすることによって実行され、このモードは、本明細書において「補助セキュア・モード」または「ASデバッグ・モード」と呼ばれ、テスト中にセキュア・インターフェース制御のインフラストラクチャが動作することを必要としない。さらに、セキュアとしてマークされたメモリ位置へのアクセスに利用されるハードウェアと、セキュア・インターフェース制御データ(例えば、データ構造)を含むメモリ位置へのアクセスに利用されるハードウェアとの類似性により、セキュア・インターフェース制御のインフラストラクチャを操作する複雑なテスト・ケースの作成が回避される。代わりに、セキュア・ゲスト・モードでのセキュア・ゲスト・ストレージへのデータ・アクセスをテストするために使用されたものと同じテスト・ケースを、ASデバッグ・モードでのセキュア・インターフェース制御ストレージへのデータ・アクセスのテストに適用することができる。これらのテスト・ケースを使用して、テスト中にハードウェアを完全に稼働させることができる。
ホスト・ハイパーバイザの制御下でゲストとして実行される仮想マシン(VM)は、そのゲストに仮想化サービスを透過的に提供するそのハイパーバイザに依存する。これらのサービスは、セキュア・エンティティと、他のエンティティによるセキュア・リソースへのアクセスを従来から許可している別の信頼できないエンティティとの間の任意のインターフェースに適用することができる。前述のように、これらのサービスには、メモリ管理、命令エミュレーション、および割り込み処理が含まれるが、これらに限定されない。例えば、割り込みおよび例外の挿入の場合、ハイパーバイザは典型的には、ゲストのプレフィックス領域(低コア)に対して読み取りまたは書き込みあるいはその両方を行う。本明細書で使用する「仮想マシン」または「VM」という用語は、物理マシン(コンピューティング・デバイス、プロセッサなど)およびその処理環境(オペレーティング・システム(OS)、ソフトウェア・リソースなど)の論理表現を指す。VMは、基盤となるホスト・マシン(物理プロセッサまたはプロセッサのセット)上で実行するソフトウェアとして維持される。ユーザまたはソフトウェア・リソースの観点からは、VMは独自の独立した物理マシンのように見える。本明細書で使用する「ハイパーバイザ」および「VMモニタ(VMM)」という用語は、同じホスト・マシン上で複数の(場合によっては異なる)OSを使用して複数のVMを実行するように管理および許可する処理環境またはプラットフォーム・サービスを指す。VMの展開は、VMのインストール・プロセスおよびVMのアクティブ化(または開始)プロセスを含むことを理解されたい。別の例では、(例えば、VMが以前にインストールされているか、すでに存在する場合)VMの展開は、VMのアクティブ化(または開始)プロセスを含む。
セキュア・ゲストを円滑化およびサポートするためには、ハイパーバイザがVMからのデータにアクセスできず、したがって上記の方法でサービスを提供できないように、ハイパーバイザとセキュア・ゲストとの間にハイパーバイザに依存することのない追加のセキュリティが必要となるという技術上の問題が存在する。
本明細書に記載のセキュアな実行は、セキュア・ストレージと非セキュア・ストレージとの間、および異なるセキュア・ユーザに属するセキュア・ストレージ間の分離を保証するためのハードウェア・メカニズムを提供する。セキュア・ゲストに対して「信頼できない」非セキュア・ハイパーバイザとセキュア・ゲストとの間に追加のセキュリティが提供される。これを実施するには、ハイパーバイザがゲストに代わって通常実行する機能の多くをマシンに組み込む必要がある。本明細書において、ハイパーバイザとセキュア・ゲストとの間にセキュアなインターフェースを提供するための、本明細書では「UV」とも呼ぶ新しいセキュア・インターフェース制御について説明する。セキュア・インターフェース制御およびUVという用語は本明細書では同義として使用される。セキュア・インターフェース制御は、ハードウェアと連携して作用し、この追加のセキュリティを提供する。さらに、下位レベルのハイパーバイザが、この信頼できないハイパーバイザに仮想化を提供していることがあり、下位レベルのハイパーバイザが、信頼できるコードに実装されている場合、その下位レベルのハイパーバイザもまた、セキュア・インターフェース制御の一部とすることができる。
一例において、セキュア・インターフェース制御は、セキュアで信頼できる内部のハードウェアまたはファームウェアあるいはその両方に実装される。この信頼できるファームウェアには、例えば、プロセッサ・ミリコードまたはPR/SM論理パーティション・コードが含まれ得る。セキュア・ゲストまたはセキュア・エンティティの場合、セキュア・インターフェース制御は、セキュア環境の初期化および保守、ならびにハードウェア上のこれらのセキュア・エンティティのディスパッチの調整を提供する。セキュア・ゲストがデータを能動的に使用しており、データがホスト・ストレージに常駐している間、データは、セキュア・ストレージ内で「クリア状態」に保たれる。セキュア・ゲスト・ストレージには、その単一のセキュア・ゲストからアクセスすることができ、これは、ハードウェアによって厳密に強制される。すなわち、ハードウェアは、任意の非セキュア・エンティティ(ハイパーバイザ、もしくは他の非セキュア・ゲストを含む)または異なるセキュア・ゲストがそのデータにアクセスするのを防止する。この例では、セキュア・インターフェース制御は、最下位レベルのファームウェアの信頼できる部分として実行する。最下位レベル、すなわちミリコードは、実際にはハードウェアの拡張であり、例えばIBMが提供しているzArchitecture(R)で定義されている複雑な命令および機能を実装するために使用される。ミリコードは、セキュアな実行のコンテキストで独自のセキュアUVストレージ、非セキュア・ハイパーバイザ・ストレージ、セキュア・ゲスト・ストレージ、および共有ストレージを含むストレージのすべての部分にアクセスする。これにより、セキュア・ゲストまたはそのゲストをサポートするハイパーバイザが必要とする任意の機能を提供することができる。セキュア・インターフェース制御はまた、ハードウェアに直接アクセスするので、ハードウェアは、セキュア・インターフェース制御によって確立された条件の制御下でセキュリティ・チェックを効率的に提供することができる。
本発明の1つまたは複数の実施形態によれば、セキュア・ページにマークするために、ハードウェア内にセキュア・ストレージ・ビットが提供される。このビットが設定されている場合、ハードウェアは、任意の非セキュア・ゲストまたはハイパーバイザがこのページにアクセスするのを防止する。さらに、各セキュア・ページまたは共有ページは、ゾーン・セキュリティ・テーブルに登録され、セキュア・ゲスト・ドメイン識別情報(ID)でタグ付けされる。ページがセキュリティで非セキュアである場合、ページは、ゾーン・セキュリティ・テーブルにおいて非セキュアとしてマークされる。このゾーン・セキュリティ・テーブルは、区分またはゾーンごとにセキュア・インターフェース制御によって維持され、システムが補助セキュア・モードであるときに、セキュア・インターフェース制御によって利用され、テストされるデータ構造の一例である。ホスト絶対ページごとに1つのエントリがあり、セキュア・エンティティによって行われる任意のDAT変換時に、ハードウェアがエントリを使用して、ページを所有するセキュア・ゲストまたはエンティティによってのみページがアクセスされることを検証する。
本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御は、セキュア・インターフェース制御自体によってのみアクセスされ得る独自のセキュアUVストレージを有する。このストレージは、セキュア・ゲストに必要なセキュリティを提供するために、セキュア・インターフェース制御およびハードウェアによって使用される。セキュア・インターフェース制御は、このセキュア・ストレージを使用して、セキュア・インターフェース制御自体、セキュア・ゲストを実行することが可能なゾーン、セキュア・ゲスト、およびセキュア仮想CPUに関する情報を記憶する。セキュア・ゲスト・ストレージと同様に、セキュア・インターフェース制御ストレージも、非セキュア・エンティティによるアクセスを防止するためにセキュア・ページとしてマークされる。さらに、セキュア・インターフェース制御ストレージは、任意の他のセキュア・エンティティがセキュア・インターフェース制御ストレージにアクセスするのを防止するために使用される独自のセキュア・ドメインIDを有する。
本発明の1つまたは複数の実施形態によれば、ソフトウェアは、UV呼出し(UVC)命令を使用して、特定のアクションを実行するためのセキュア・インターフェース制御を要求する。例えば、UVC命令は、ハイパーバイザがセキュア・インターフェース制御を初期化し、セキュア・ゲスト・ドメイン(例えば、セキュア・ゲスト構成)を作成し、そのセキュア構成内に仮想CPUを作成するために使用され得る。UVC命令はまた、セキュア・ゲスト・ページをハイパーバイザのページ・インまたはページ・アウト動作の一部としてインポートし(復号し、セキュア・ゲスト・ドメインに割り当て)、エクスポートする(暗号化し、ホスト・アクセスを許可する)ためにも使用され得る。さらに、セキュア・ゲストは、ハイパーバイザと共有するストレージを定義し、セキュアにするための能力を有する。
これらのUVCコマンドは、他の多くの設計された命令と同様に、マシン・ファームウェアによって実行され得る。マシンはセキュア・インターフェース制御モードに入らないが、代わりにマシンは、現在実行しているモードでセキュア・インターフェース制御機能を実行する。ハードウェアは、ファームウェアとソフトウェアの両方の状態を維持するので、これらの動作を処理するためのコンテキストの切り替えはない。この低いオーバーヘッドにより、必要なレベルのセキュリティを提供しながらセキュア・インターフェース制御の複雑さを最小限に抑えて軽減する方法で、ソフトウェア、信頼できるファームウェア、およびハードウェアの様々な層間の緊密な連携が可能になる。
本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御およびハードウェアがセキュア・ゲストを適切に維持してハイパーバイザ環境をサポートするために必要とされる制御ブロック構造をサポートするために、ハイパーバイザは、セキュア・ゲスト環境を初期化しながら、セキュア・インターフェース制御にストレージを提供する。その結果、1)セキュア・ゲストを実行するためのゾーンを初期化する、2)セキュア・ゲスト・ドメインを作成する、および3)ドメインの各々で実行されるセキュアCPUを作成するための準備として、ハイパーバイザは、とりわけ、提供に必要なストレージの容量を決定するためのクエリUVC命令を発行する。ストレージが提供されると、ストレージはセキュアとしてマークされ、セキュア・インターフェース制御に属するものとして登録され、非セキュアまたはセキュアなゲスト・エンティティによるアクセスは禁止される。これは、関連するエンティティ(例えば、セキュア・ゲストCPU、セキュア・ゲスト・ドメインまたはゾーン)が破棄されるまでこの状況が継続する。
一例において、ゾーン固有UV制御ブロックをサポートするためのUVストレージの第1のセクションは、セキュア・インターフェース制御に初期化UVCの一部として提供され、本明細書でUV2ストレージと呼ぶ場所に常駐する。(セキュア・ゲスト・ドメインごとに)基本および可変のセキュア・ゲスト構成制御ブロックをサポートするための、UVストレージの第2のセクションおよび第3のセクションは、セキュア・ゲスト構成作成UVC(create-secure-guest-configuration UVC)の一部として提供され、UVSストレージおよびUVVストレージにそれぞれ常駐する。セキュアCPU制御ブロックをサポートするためのUVストレージの第4の最後のセクションも、UVS空間に常駐し、セキュア・ゲストCPU作成UVC(create-secure-guest-CPU UVC)の一部として提供される。これらのエリアの各々がそれぞれ提供されると、セキュア制御インターフェースは、(各エリアがすべての非セキュア・エンティティによってアクセスされないように)これらのエリアをセキュアとしてマークし、また(これらのエリアがすべてのセキュア・ゲスト・エンティティによってアクセスされないように)これらのエリアをゾーン・セキュリティ・テーブルにセキュア制御インターフェースに属するものとして登録する。UV空間内でさらなる分離を実現するために、(どの特定のセキュア・ゲスト・ドメインに関連付けられていない)UV2空間も、一意のUV2セキュア・ドメインでタグ付けされ、UVS空間とUVV空間はどちらも、関連する特定のセキュア・ゲスト・ドメインでさらにタグ付けされる。この例では、UVV空間はホスト仮想空間に常駐し、したがって、ホスト仮想からホスト絶対へのマッピングによってさらに識別され得る。
セキュア・インターフェース制御はすべてのストレージ(非セキュア・ストレージ、セキュア・ゲスト・ストレージ、およびUVストレージ)にアクセスできるが、本発明の1つまたは複数の実施形態は、セキュア・インターフェース制御が非常に具体的にUVストレージにアクセスすることを可能にするメカニズムを提供する。本発明の実施形態は、セキュア・ゲスト・ドメイン間の分離を提供する同じハードウェア・メカニズムを使用して、UVストレージ内で同様の分離を提供することができる。これにより、セキュア制御インターフェースが、意図され指定された場合にのみUVストレージにアクセスすること、所望の指定されたセキュア・ゲストのセキュア・ゲスト・ストレージにのみアクセスすること、および指定された場合にのみ非セキュア・ストレージにアクセスすることが保証される。すなわち、セキュア制御インターフェースは、セキュア制御インターフェースがアクセスしようとするストレージにハードウェアが実際にアクセスすることを保証できるように、そのストレージを極めて明示的に指定してもよい。また、セキュア制御インターフェースはさらに、セキュア制御インターフェースが、指定されたセキュア・ゲスト・ドメインに関連付けられたUVストレージにのみアクセスしようとするように指定することができる。
この手法は、セキュア・インターフェース制御がセキュア・インターフェース制御ストレージまたはUVストレージにアクセスしているときのセキュリティを強化する。しかしながら、この手法によって生じる欠点は、ハードウェアUVメモリ保護をテストするために、比較的複雑なUV呼出しインフラストラクチャが必要になることである。本発明の1つまたは複数の実施形態によれば、ハードウェア障害のリスクを軽減するために、UVまたはセキュア・インターフェース制御のストレージ保護ハードウェアは、セキュア・ゲスト・ストレージ保護ハードウェアと非常に類似している(場合によっては同じである)。これにより、セキュア・ゲスト・ストレージ保護を検証するために行われたテストの多くが、セキュアUVストレージ保護ハードウェアのテストにも適用できるようになる。前提条件のUV呼出しインフラストラクチャを提供するソフトウェアを含まないテスト環境、およびインフラストラクチャが使用可能になる前のより包括的なテスト環境で、さらに優れたテストを可能にするために、ASデバッグ・モードが定義される。この交互モードを使用することにより、セキュア・ゲストのテスト・ケースは、ハードウェアのUVストレージ保護部分を稼働するために使用されるとき、基本的に変更されないままとすることができる。この交互モードは、テスト・ケースがセキュア・ゲスト・モードとASデバッグ・モードを切り替えて、2つの間に十分な分離があることを保証する、より詳細なテストに使用することができる。このテストは、単一の実装の場合に課され得る制限なしに、すべて独立して行うことができる。
セキュリティを提供するために、ハイパーバイザがセキュア・ゲスト・データを透過的にページ・インおよびページ・アウトするとき、ハードウェアと連携するセキュア・インターフェース制御は、データの復号および暗号化を提供し、保証する。これを実現するためには、ハイパーバイザは、ゲスト・セキュア・データをページ・インおよびページ・アウトするときに新しいUVCを発行する必要がある。ハードウェアは、これらの新しいUVC中にセキュア・インターフェース制御によってセットアップされた制御に基づいて、これらのUVCが実際にハイパーバイザによって発行されることを保証する。
この新しいセキュア環境では、ハイパーバイザは、セキュア・ページをページ・アウトしている場合は常に、セキュア・ストレージからの新しい変換(エクスポート)UVCを発行する必要がある。セキュア・インターフェース制御は、このエクスポートUVCに応答して、1)ページがUVによって「ロック」されていることを示し、2)ページを暗号化し、3)ページを非セキュアに設定し、4)UVロックをリセットする。エクスポートUVCが完了すると、ここでハイパーバイザは、暗号化されたゲスト・ページをページ・アウトできるようになる。
さらに、ハイパーバイザは、セキュア・ページをページ・インしている場合は常に、セキュア・ストレージへの新しい変換(インポート)UVCを発行しなければならない。UVまたはセキュア・インターフェース制御は、このインポートUVCに応答して、1)ハードウェアにおいてページをセキュアとしてマークし、2)ページがUVによって「ロック」されていることを示し、3)ページを復号し、4)特定のセキュア・ゲスト・ドメインに権限を設定し、5)UVロックをリセットする。セキュア・エンティティによってアクセスが行われる場合は常に、ハードウェアは、変換中にそのページに対して権限チェックを実行する。これらのチェックには、1)アクセスしようとしているセキュア・ゲスト・ドメインにページが実際に属していることを検証するためのチェック、および2)このページがゲスト・メモリに常駐している間、ハイパーバイザがこのページのホスト・マッピングを変更していないことを確認するためのチェックが含まれる。ページがセキュアとしてマークされると、ハードウェアは、ハイパーバイザまたは非セキュア・ゲストVMのいずれかによるすべてのセキュア・ページへのアクセスを防止する。追加の変換ステップは、別のセキュアVMによるアクセスを防止し、ハイパーバイザによる再マッピングを防止する。
次に図1を参照すると、本発明の1つまたは複数の実施形態によるゾーン・セキュリティのテーブル100が概略的に示されている。図1に示すゾーン・セキュリティ・テーブル100は、セキュア・エンティティによってアクセスされる任意のページへのセキュア・アクセスを保証するために、(セキュア・インターフェース制御ストレージ内の)セキュア・インターフェース制御によって維持され、セキュア・インターフェース制御およびハードウェアによって使用される。ゾーン・セキュリティ・テーブル100は、ホスト絶対アドレス110によってインデックス付けされる。すなわち、ホスト絶対ストレージのページごとに1つのエントリがある。各エントリは、エントリが、アクセスを行うセキュア・エンティティに属していることを検証するために使用される情報を含む。
さらに、図1に示すように、ゾーン・セキュリティ・テーブル100は、セキュア・ドメインID120(このページに関連付けられたセキュア・ドメインを識別する)と、UVビット130(このページがセキュア・インターフェース制御に提供され、セキュア・インターフェース制御によって所有されていることを示す)と、アドレス比較無効化(DA)ビット140(ホスト絶対と定義されているセキュア・インターフェース制御ページが、関連するホスト仮想アドレスを有していない場合などに、特定の状況でホスト・アドレス・ペアの比較を無効にするために使用される)と、共有(SH)ビット150(ページが非セキュア・ハイパーバイザと共有されていることを示す)と、ホスト仮想アドレス160(このホスト絶対アドレスに対して登録されているホスト仮想アドレスを示し、これをホスト・アドレス・ペアと呼ぶ)とを含む。なお、ホスト・アドレス・ペアは、ホスト絶対アドレスと、関連する登録済みのホスト仮想アドレスとを示す。ホスト・アドレス・ペアは、ハイパーバイザによってインポートされた時点でのこのページのマッピングを表し、この比較は、ページがゲストによって使用されている間にホストがそのページを再マッピングしないことを保証する。
動的アドレス変換(DAT)は、仮想ストレージを実ストレージにマッピングするために使用される。ゲストVMがハイパーバイザの制御下でページング可能なゲストとして実行されているとき、ゲストは、DATを使用してそのメモリに常駐するページを管理する。さらに、ホストは、ページがメモリに常駐しているとき、単独でDATを使用してそれらのゲスト・ページを(ホスト自体のページと共に)管理する。ハイパーバイザは、DATを使用して、異なるVM間でのストレージの分離または共有あるいはその両方を実現し、ハイパーバイザ・ストレージへのゲスト・アクセスを防止する。ゲストが非セキュア・モードで実行しているとき、ハイパーバイザは、ゲストのストレージのすべてにアクセスする。
DATにより、アプリケーションを別のアプリケーションから分離しながら、依然としてそれらのアプリケーションに共通リソースを共有させることが可能になる。また、DATによりVMの実装も可能であり、VMは、アプリケーション・プログラムの同時処理、ならびに新しいバージョンのOSの設計およびテストに使用されてもよい。仮想アドレスは、仮想ストレージ内の位置を識別する。アドレス空間は、仮想アドレスの連続シーケンスであり、特定の変換パラメータ(DATテーブルを含む)を用いて、各仮想アドレスを、その各仮想アドレスをストレージ内のバイト位置で識別する関連する絶対アドレスに変換できるようにする。
DATは、マルチ・テーブル・ルックアップを使用して、仮想アドレスを関連する絶対アドレスに変換する。このテーブル構造は、典型的には、ストレージ・マネージャによって定義および維持される。このストレージ・マネージャは、例えばあるページをページ・アウトして別のページを取り込むことによって、絶対ストレージを複数のプログラム間で透過的に共有する。例えば、ページがページ・アウトされると、ストレージ・マネージャは、関連するページ・テーブルに無効ビットを設定する。ページ・アウトされたページにプログラムがアクセスしようとすると、ハードウェアは、しばしばページ・フォールトと呼ばれるプログラム割り込みをストレージ・マネージャに提示する。それに応答してストレージ・マネージャは、要求されたページをページ・インし、無効ビットをリセットする。これはすべて、プログラムに対して透過的に行われ、ストレージ・マネージャがストレージを仮想化して様々な異なるユーザ間で共有できるようにする。
CPUが仮想アドレスを使用してメイン・ストレージにアクセスする場合、仮想アドレスは最初に、DATによって実アドレスに変換され、次いでプレフィックス変換(prefixing)によって絶対アドレスに変換される。特定のアドレス空間に対する最上位レベルのテーブルの指定(起点および長さ)は、アドレス空間制御要素(ASCE:address-space-control element)と呼ばれ、関連するアドレス空間を定義する。
次に図2を参照すると、本発明の1つまたは複数の実施形態による、DATを実行するための例示的な仮想アドレス空間202および204、ならびに絶対アドレス空間206が概略的に示されている。図2に示す例では、仮想アドレス空間202(アドレス空間制御要素(ASCE)A208によって定義される)と、仮想アドレス空間204(ASCE B210によって定義される)との2つの仮想アドレス空間が存在する。マルチ・テーブル(セグメント230およびページ・テーブル232a、232b)ルックアップにおいて、ストレージ・マネージャによってASCE A208を使用して、仮想ページA1.V212a1、A2.V212a2、およびA3.V212a3は、絶対ページA1.A2320a1、A2.A2320a1、およびA3.A2320a1にマッピングされる。同様に、234および236の2つのテーブル・ルックアップにおいて、ASCE B210を使用して、仮想ページB1.V214b1およびB2.V214b2は、絶対ページB1.A222b1およびB2.A222b2にそれぞれマッピングされる。
次に図3を参照すると、本発明の1つまたは複数の実施形態による、ハイパーバイザの下で実行しているVMをサポートするために使用されるネストされたマルチ・パートDAT変換の例が概略的に示されている。図3に示す例では、ゲストA仮想アドレス空間A302(ゲストASCE(GASCE)A304によって定義される)とゲストB仮想アドレス空間B306(GASCEB308によって定義される)はどちらも共有ホスト(ハイパーバイザ)仮想アドレス空間325内に常駐する。図示のように、ゲストAストレージ・マネージャによってGASCEA304を使用して、ゲストAに属する仮想ページA1.GV310a1、A2.GV310a2、およびA3.GV310a3は、ゲスト絶対ページA1.HV340a1、A2.HV340a2、およびA3.HV340a3にそれぞれマッピングされ、ゲストBストレージ・マネージャによって単独でGASCEB308を使用して、ゲストBに属する仮想ページB1.GV320b1およびB2.GV320b2は、ゲスト絶対ページB1.HV360b1およびB2.HV360b2にそれぞれマッピングされる。この例では、これらのゲスト絶対ページは、共有ホスト仮想アドレス空間325に直接マッピングされ、その後、追加のホストDAT変換を経て、ホスト絶対アドレス空間330まで進む。図示のように、ホスト・ストレージ・マネージャによってホストASCE(HASCE)350を使用して、ホスト仮想アドレスA1.HV340a1、A3.HV340a3、およびB1.HV360b1は、A1.HA370a1、A3.HA370a3、およびB1.HA370b1にマッピングされる。ゲストAに属するホスト仮想アドレスA2.HV340a2とゲストBに属するホスト仮想アドレスB2.HV360b2はどちらも、同じホスト絶対ページAB2.HA380にマッピングされる。これにより、この2人のゲスト間でデータを共有することが可能になる。ゲストDAT変換中、ゲスト・テーブル・アドレスはそれぞれ、ゲスト絶対アドレスとして扱われ、追加のネストされたホストDAT変換の対象となる。
本明細書に記載の本発明の実施形態は、セキュア・ゲストおよびUVストレージ保護を提供する。非セキュア・ゲストおよびハイパーバイザによるセキュア・ストレージへのアクセスは禁止される。ハイパーバイザは、常駐している所与のセキュア・ゲスト・ページに対して、以下の動作が行われるようにする。関連するホスト絶対アドレスは、単一のハイパーバイザ(ホスト)DATマッピングを介してのみアクセス可能である。すなわち、セキュア・ゲストに割り当てられた任意の所与のホスト絶対アドレスにマッピングする単一のホスト仮想アドレスが存在する。所与のセキュア・ゲスト・ページに関連する(ホスト仮想からホスト絶対への)ハイパーバイザDATマッピングは、ページ・インされている間は変更されない。セキュア・ゲスト・ページに関連するホスト絶対ページは、単一のセキュア・ゲストにマッピングされる。
本発明の1つまたは複数の実施形態によれば、セキュア・ゲスト間でのストレージの共有も禁止される。ストレージは、単一のセキュア・ゲストとセキュア・ゲストの制御下にあるハイパーバイザとの間で共有される。UVストレージは、セキュア・ストレージであり、セキュア制御インターフェースからアクセスできるが、ゲスト/ホストからはアクセスできない。ストレージは、ハイパーバイザによってセキュア制御インターフェースに割り当てられる。本発明の1つまたは複数の実施形態によれば、これらの規則に対するすべての違反を試みることは、ハードウェアおよびセキュア制御インターフェースによって禁止されている。
次に図4を参照すると、本発明の1つまたは複数の実施形態によるセキュア・ゲスト・ストレージのマッピングの例が概略的に示されている。図4の例がセキュア・ゲストAとセキュア・ゲストBとの間のストレージの共有を可能にしないことを除いて、図4は図3と類似している。図3の非セキュアの例では、ゲストAに属するホスト仮想アドレスA2.HV340a2とゲストBに属するホスト仮想アドレスB2.HV360b2のどちらも、同じホスト絶対ページAB2.HA380にマッピングされる。図4のセキュア・ゲスト・ストレージの例では、ゲストAに属するホスト仮想アドレスA2.HV340a2は、ホスト絶対アドレスA2.HA490aにマッピングされ、一方、ゲストBに属するホスト仮想アドレスB2.HV360b2は、それ自体のB2.HA490bにマッピングされる。この例では、セキュア・ゲスト間での共有はない。
セキュア・ゲスト・ページは、ディスク上に常駐しているが、暗号化されている。ハイパーバイザがセキュア・ゲスト・ページにページ・インすると、ハイパーバイザはUV呼出し(UVC)を発行し、UV呼出し(UVC)は、セキュア制御インターフェースに、ページをセキュアとしてマークさせ(共有されていない場合)、ページを復号させ(共有されていない場合)、ページを適切なセキュア・ゲスト(例えば、ゲストA)に属するものとして(ゾーン・セキュリティ・テーブルに)登録させる。さらに、セキュア制御インターフェースは、関連するホスト仮想アドレス(例えば、A3.HV340a3)をそのホスト絶対ページ(ホスト・アドレス・ペアと呼ぶ)に登録する。ハイパーバイザが正しいUVCを発行できない場合、セキュア・ゲスト・ページにアクセスしようとすると、ハイパーバイザは例外を受信する。ハイパーバイザがゲスト・ページをページ・アウトすると、同様のUVCが発行され、ハイパーバイザは、ゲスト・ページを非セキュアとしてマークしてそのゲスト・ページをゾーン・セキュリティ・テーブルに非セキュアとして登録する前に、(共有されていない場合)ゲスト・ページを暗号化する。
5つの所与のホスト絶対ページK、P、L、M、およびNがある例では、ハイパーバイザがホスト絶対ページをページ・インするとき、ホスト絶対ページはそれぞれ、セキュア制御インターフェースによってセキュアとしてマークされる。これにより、非セキュア・ゲストおよびハイパーバイザがそのページにアクセスするのを防止する。ハイパーバイザがホスト絶対ページK、P、およびMをページ・インするとき、ホスト絶対ページK、P、およびMは、ゲストAに属するものとして登録され、ホスト絶対ページLおよびNは、ハイパーバイザによってページ・インされるとき、ゲストBに登録される。共有ページ、すなわち単一のセキュア・ゲストとハイパーバイザとの間で共有されるページは、ページング中に暗号化も復号もされない。共有ページは、(ハイパーバイザによるアクセスを許可する)セキュアとしてマークされないが、ゾーン・セキュリティ・テーブル内の単一のセキュア・ゲスト・ドメインに登録される。
本発明の1つまたは複数の実施形態によれば、非セキュア・ゲストまたはハイパーバイザがセキュア・ゲストによって所有されているページにアクセスしようとすると、ハイパーバイザは、セキュア・ストレージ・アクセス(PIC3D)例外を受信する。これを判定するために追加の変換ステップは必要ない。
1つまたは複数の実施形態によれば、セキュア・エンティティがページにアクセスしようとすると、ハードウェアは、ストレージが実際にその特定のセキュア・ゲストに属していることを検証する追加の変換チェックを実行する。属していない場合、ハイパーバイザに非セキュア・アクセス(PIC3E)例外が提示される。さらに、変換されるホスト仮想アドレスが、ゾーン・セキュリティ・テーブルに登録されているホスト・アドレス・ペアからのホスト仮想アドレスと一致しない場合、セキュア・ストレージ違反(「3F」x)例外が認識される。ハイパーバイザとの共有を可能にするために、セキュア・ゲストは、変換チェックでアクセスが許可されている限り、セキュアとしてマークされていないストレージにアクセスしてもよい。
次に図5を参照すると、本発明の1つまたは複数の実施形態による、DAT動作のシステム概略図500が概略的に示されている。システム概略図500は、ホスト1次仮想アドレス空間510およびホスト・ホーム仮想アドレス空間520を含み、ページはこれらの空間から、ハイパーバイザ(ホスト)絶対アドレス空間530に変換される(例えば、ホストDAT変換525を参照。なお、点線は、DAT変換525を介したマッピングを表す)。例えば、図5は、2つの異なるホスト仮想アドレス空間によるホスト絶対ストレージの共有、さらに2人のゲスト間だけでなくホスト自体との、これらのホスト仮想アドレスのうちの1つの共有も示す。これに関して、ホスト1次仮想アドレス空間510およびホスト・ホーム仮想アドレス空間520は、2つのホスト仮想アドレス空間の例であり、各ホスト仮想アドレス空間は、別個のASCE、ホスト1次ASCE(HPASCE)591、およびホスト・ホームASCE(HHASCE)592によってそれぞれアドレス指定される。なお、すべてのセキュア・インターフェース制御ストレージ(仮想ストレージと実ストレージの両方)は、ハイパーバイザによって提供され、セキュアとしてマークされる。セキュア・インターフェース制御ストレージが提供されると、関連するセキュア・エンティティが存在する限り、セキュア・インターフェース制御ストレージには、セキュア・インターフェース制御からのみアクセスすることができる。
図示のように、ホスト1次仮想アドレス空間510は、ゲストA絶対ページA1.HV、ゲストA絶対ページA2.HV、ゲストB絶対ページB1.HV、およびホスト仮想ページH3.HVを含む。ホスト・ホーム仮想アドレス空間520は、セキュア・インターフェース制御仮想ページU1.HV、ホスト仮想ページH1.HV、およびホスト仮想ページH2.HVを含む。
本発明の1つまたは複数の実施形態によれば、セキュア・ゲスト(例えば、セキュア・ゲストAおよびセキュア・ゲストB)ストレージはすべて、本明細書に記載のゾーン・セキュリティ・テーブルに、セキュア・ゲスト構成に属するものとして登録され、関連するホスト仮想アドレス(例えば、A1.HV、A2.HV、B1.HV)も、ホスト・アドレス・ペアの一部として登録される。1つまたは複数の実施形態では、セキュア・ゲスト・ストレージはすべて、ホスト1次仮想空間にマッピングされる。さらに、セキュア・インターフェース制御ストレージはすべて、同様にゾーン・セキュリティ・テーブルに、セキュア・インターフェース制御に属するものとして登録され、関連するセキュア・ゲスト・ドメインに基づいてゾーン・セキュリティ・テーブル内でさらに区別されてもよい。本発明の1つまたは複数の実施形態によれば、UV仮想ストレージは、ホスト・ホーム仮想空間にマッピングされ、関連するホスト仮想アドレスは、ホスト・アドレス・ペアの一部として登録される。1つまたは複数の実施形態によれば、UV実ストレージは、関連するホスト仮想マッピングを有さず、ゾーン・セキュリティ・テーブル内の(仮想アドレス比較が無効であることを示す)DAビットは、これを示すように設定される。ホスト・ストレージは、非セキュアとしてマークされ、ゾーン・セキュリティ・テーブルにも非セキュアとして登録される。
したがって、「ゲスト絶対=ホスト仮想」の場合、(HPASCE591によって定義される)ハイパーバイザ(ホスト)1次DATテーブルは、ホスト1次仮想アドレス空間510のページを次のように変換する。ゲストA絶対ページA1.HVは、セキュア・ゲストAに属するホスト絶対A1.HAにマッピングされ、ゲストA絶対ページA2.HVは、セキュア・ゲストAに属するホスト絶対A2.HAにマッピングされ、ゲストB絶対ページB1.HVは、セキュア・ゲストBに属するホスト絶対B1.HAにマッピングされ、ホスト仮想ページH3.HVは、ホスト絶対ページH3.HA非セキュア・ホストにマッピングされる(非セキュアであるため、ホスト・アドレス・ペアはない)。さらに、(HHASCE592によって定義される)ハイパーバイザ(ホスト)・ホームDATテーブルは、ホスト・ホーム仮想アドレス空間520のページを次のように変換する。セキュア・インターフェース制御仮想ページU1.HVは、セキュアUV仮想と定義されたホスト絶対ページU1.HAにマッピングされ、ホスト仮想ページH1.HVは、非セキュアと定義されたホスト絶対ページH1.HAにマッピングされ、ホスト仮想ページH2.HVは、非セキュアと定義されたホスト絶対ページH2.HAにマッピングされる。H1.HAおよびH2.HAは非セキュアであるため、H1.HAまたはH2.HAのいずれかに関連するホスト・アドレス・ペアはない。
動作中、セキュア・インターフェース制御に割り当てられたセキュア・ページにセキュア・ゲストがアクセスしようとすると、ハードウェアによってハイパーバイザにセキュア・ストレージ違反(「3F」X)例外が提示される。非セキュア・ゲストまたはハイパーバイザが(セキュア・インターフェース制御に割り当てられたページを含む)いずれかのセキュア・ページにアクセスしようとすると、ハードウェアによってハイパーバイザにセキュア・ストレージ・アクセス(「3D」X)例外が提示される。代替として、セキュア・インターフェース制御空間に対して行われたアクセスの試行について、エラー状態を提示することができる。ハードウェアがセキュア・インターフェース制御アクセスにおいてセキュアな割り当ての不一致を検出した場合(例えば、ストレージがセキュア・インターフェース制御ではなくセキュア・ゲストに属するものとしてゾーン・セキュリティ・テーブルに登録されている場合、または登録済みのペアで使用されているホスト・アドレス・ペアに不一致がある場合)、チェックが提示される。
言い換えれば、ホスト1次仮想アドレス空間510は、(セキュア・ゲストAに属する)ホスト仮想ページA1.HVおよびA2.HV、ならびに(セキュア・ゲストBに属する)ホスト仮想ページB1.HVを含み、これらは、ホスト絶対A1.HA、A2.HA、およびB1.HAにそれぞれマッピングされる。さらに、ホスト1次仮想アドレス空間510は、ホスト(ハイパーバイザ)・ページH3.HVを含み、これは、ホスト絶対H3.HAにマッピングされる。ホスト・ホーム仮想空間520は、2つのホスト仮想ページH1.HVおよびH2.HVを含み、これらは、ホスト絶対ページH1.HAおよびH2.HAにマッピングされる。ホスト1次仮想アドレス空間510とホスト・ホーム仮想アドレス空間520とはどちらも、単一のホスト絶対530にマッピングされる。セキュア・ゲストAおよびセキュア・ゲストBに属するストレージ・ページは、セキュアとしてマークされ、それらのセキュア・ドメインおよび関連するホスト仮想アドレスと共に、図1に示すゾーン・セキュリティ・テーブル100に登録される。一方、ホスト・ストレージは非セキュアとしてマークされる。ハイパーバイザがセキュア・ゲストを定義している場合、ハイパーバイザは、これらのセキュア・ゲストのサポートに必要なセキュア制御ブロックに使用するために、セキュア・インターフェース制御にホスト・ストレージを提供しなければならない。このストレージは、ホスト絶対空間またはホスト仮想空間のいずれか、一例では、具体的にはホスト・ホーム仮想空間内で定義することができる。図5に戻ると、ホスト絶対ページU1.HAおよびホスト絶対ページU2.HAセキュアUV絶対は、ホスト絶対ストレージと定義されているセキュア・インターフェース制御ストレージである。結果として、これらのページはセキュアとしてマークされ、関連するセキュア・ドメインと共に、図1に示すゾーン・セキュリティ・テーブル100にセキュア・インターフェース制御に属するものとして登録される。ページはホスト絶対アドレスと定義されるので、関連するホスト仮想アドレスは存在せず、したがってゾーン・セキュリティ・テーブル100にDAビットが設定される。
図6において、変換後のハイパーバイザ(ホスト)絶対アドレス空間530の例を見出すことができる。図6には、本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御メモリに関するシステム概略図600が示されている。システム概略図600は、ホスト絶対ページA2.HAセキュア・ゲストA(A2.HV用)、ホスト絶対ページB1.HAセキュア・ゲストB(B1.HV用)、ホスト絶対ページH1.HA非セキュア(ホスト)、ホスト絶対ページH2.HA非セキュア(ホスト)、ホスト絶対ページU3.HAセキュアUV実(HVマッピング無し)、ホスト絶対ページU1.HAセキュアUV仮想(U1.HV用)、ホスト絶対ページA1.HAセキュア・ゲストA(A1.HV用)を含む、ハイパーバイザ(ホスト)絶対アドレス空間630を示す。
次に図7を参照すると、本発明の1つまたは複数の実施形態による、インポート動作のためのプロセス・フロー700が概略的に示されている。ハイパーバイザによってページ・アウトされたページにセキュア・ゲストがアクセスすると、そのページを安全に戻すために、プロセス・フロー700に示すような一連のイベントが発生する。プロセス・フロー700はブロック705で開始し、セキュア・ゲストがゲスト仮想ページにアクセスする。例えば、ページが無効であるため、ハードウェアは、プログラム割り込みコード11(PIC11)によって示されるホスト・ページ・フォールトをハイパーバイザに提示する(ブロック715を参照)。次に、ハイパーバイザは、このゲスト・ページに対して使用可能な非セキュア・ホスト絶対ページを識別し(ブロック720を参照)、識別されたホスト絶対ページに暗号化されたゲスト・ページをページ・インする(ブロック725を参照)。
次いで、ブロック730において、ホスト絶対ページは、(ホスト仮想アドレスに基づく)適切なホストDATテーブルにマッピングされる。次いで、ブロック735において、ハイパーバイザ・ホストが、セキュア・ゲストを再ディスパッチする。ブロック740において、セキュア・ゲストは、ゲスト・セキュア・ページに再アクセスする。ページ・フォールトはもはや存在しないが、このセキュア・ゲスト・アクセスおよびページは図1のゾーン・セキュリティ・テーブル100にセキュアとしてマークされないので、ブロック745においてハードウェアは、非セキュア・ストレージ例外(PIC3E)をハイパーバイザに提示する。このPIC3Eは、必要なインポートが発行されるまで、ゲストによるこのセキュア・ページへのアクセスを防止する。次に、プロセス・フロー700は、図8に接続されている「A」に進む。
次に図8を参照すると、本発明の1つまたは複数の実施形態による、インポート動作を実行するためのプロセス・フロー800が概略的に示されている。正常に動作する(例えば、エラー無しで期待どおりに実行する)ハイパーバイザは、PIC3Eに応答して、インポートUVCを発行する(ブロック805を参照)。なお、この時点で、インポートされるページは、非セキュアとしてマークされ、ハイパーバイザ、他の非セキュア・エンティティ、およびセキュア・インターフェース制御によってのみアクセスされ得る。インポートされるページに、セキュア・ゲストによってアクセスすることはできない。
インポートUVCの一部として、セキュア・インターフェース制御として機能する信頼できるファームウェアは、このページがセキュア・インターフェース制御によってすでにロックされているかどうかを確認するためにチェックする(判定ブロック810を参照)。すでにロックされている場合、プロセス・フロー800はブロック820に進む。ブロック820において、「ビジー」リターン・コードがハイパーバイザに返され、ハイパーバイザは、応答して、遅延し(ブロック825を参照)、インポートUVCを再発行する(プロセス・フロー800はブロック805に戻る)。ページがまだロックされていない場合、プロセス・フロー800は、判定ブロック822に進む。
判定ブロック822において、セキュア・インターフェース制御は、ページが非セキュア・ハイパーバイザと共有されているページであるかどうかを確認するためにチェックする。ページが共有されている場合(プロセス・フロー800は判定ブロック824に進み)、セキュア・インターフェース制御は、ゾーン・セキュリティ・テーブル内のホスト絶対アドレスを、関連するセキュア・ゲスト・ドメインおよびホスト仮想アドレスに、共有として登録する。このページは、非セキュアとしてマークされたままである。これでインポートUVCが完了し、ここでゲストは、ページにアクセスして利用できるようになる。処理は、ハイパーバイザがゲストを再ディスパッチし(ブロック830)、セキュア・ゲストがページに正常にアクセスする(ブロック835)ことで続行する。
インポートされるホスト仮想ページがハイパーバイザと共有されていない場合(プロセス・フロー800はブロック840に進み)、セキュア・インターフェース制御は、ハイパーバイザはそのページにアクセスできなくなるようにページをセキュアとしてマークする。ブロック845において、他のUVCはページのステータスを変更することができないように、セキュア・インターフェース制御はページをロックする。ロックが設定されると、(ブロック850において)セキュア・インターフェース制御は、ゲスト・ページの内容が、暗号化されている間に変更されていないことを検証する。ゲスト・ページの内容が変更された場合、ハイパーバイザにエラー・リターン・コードが返され、変更されていない場合、セキュア・インターフェース制御はセキュア・ページを復号する。
ブロック855において、セキュア・インターフェース制御は、ページをロック解除して他のUVCによるアクセスを許可し、ページをゾーン・セキュリティ・テーブルにセキュアとして登録し、適切なゲスト・ドメインおよびホスト仮想アドレスに関連付けて、ホスト・アドレスHV->HAペアを完成させる。これにより、ゲストによるアクセスが可能になり、UVCが完了する。
次に図9を参照すると、本発明の1つまたは複数の実施形態による、提供されたメモリの動作に関するプロセス・フロー900が概略的に示されている。プロセス・フロー900はブロック905で開始し、ハイパーバイザがセキュア・インターフェース制御にクエリUVCを発行する。ブロック910において、セキュア・インターフェース制御は、データ(例えば、クエリUVC)を返す。このデータは、必要とされる基本ゾーン固有ホスト絶対ストレージの容量、必要とされる基本セキュア・ゲスト・ドメイン固有ホスト絶対ストレージの容量、MBごとの必要となる可変セキュア・ゲスト・ドメイン固有ホスト仮想ストレージの容量、または必要となる基本セキュア・ゲストCPU固有ホスト絶対ストレージの容量、あるいはその組合せを含むことができる。
ブロック915において、ハイパーバイザは、(例えば、クエリUVCによって返されるサイズに基づいて)基本ホスト絶対ゾーン固有ストレージを確保する。ブロック920において、ハイパーバイザは、セキュア・インターフェース制御に初期化を発行する。この点に関連して、ハイパーバイザは、提供されたストレージを、ゾーン全体のセキュア・ゲスト構成間で調整するために必要なUV制御ブロックに提供する、初期化UVCを発行することができる。初期化UVCは、基本ゾーン固有ストレージの起点を指定する。
ブロック925において、セキュア・インターフェース制御は、提供されたストレージをUVに登録してセキュアとしてマークすることによって、初期化(例えば、初期化UVC)を実施する。初期化UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージの一部をゾーン・セキュリティ・テーブルに割り当て、提供されたストレージを、UVで使用するために、ゾーン・セキュリティ・テーブルに一意のセキュア・ドメインと共に登録することができるが、関連するセキュア・ゲスト・ドメインはなく、関連するホスト仮想アドレス・ペアはないものとして登録する。
ブロック930において、ハイパーバイザは、ストレージ(例えば、基本および可変のセキュア・ゲスト・ドメイン固有ストレージ)を確保する。例えば、ハイパーバイザは、(例えば、セキュア・ゲスト・ドメイン・ストレージのサイズに基づく)基本および可変のセキュア・ゲスト・ドメイン固有ストレージ(例えば、クエリUVCによって返されるサイズ)を確保する。ブロック935において、ハイパーバイザは、セキュア・インターフェース制御に構成作成を発行する。この点に関連して、ハイパーバイザは、基本および可変のセキュア・ゲスト・ドメイン固有ストレージの起点を指定する、セキュア・ゲスト構成作成UVCを発行することができる。さらに、セキュア・ゲスト構成作成UVCは、提供されたストレージを、このセキュア・ゲスト構成をサポートするために必要なUV制御ブロックに提供する。
ブロック940において、セキュア・インターフェース制御は、構成作成(例えば、セキュア・ゲスト構成作成UVC)を実施する。セキュア・ゲスト構成作成UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージをUVで使用するためにゾーン・セキュリティ・テーブルに登録し、提供されたストレージを関連するセキュア・ゲスト・ドメインに登録することができる。提供された基本(ホスト絶対)ストレージは、関連するホスト仮想アドレス・ペアを有していないものとして登録される。提供された可変(ホスト仮想)ストレージは、関連するホスト仮想アドレス・ペアに登録される。
ブロック945において、ハイパーバイザは基本セキュア・ゲストCPU固有ストレージ(例えば、クエリUVによって返されるサイズ)を確保する。ブロック950において、ハイパーバイザは、ストレージの起点を指定する。例えば、ハイパーバイザは、基本セキュア・ゲストCPU固有ストレージの起点を指定するセキュア・ゲストCPU作成をUVに発行する。ブロック955において、セキュア・インターフェース制御は、CPU作成(例えば、セキュア・ゲストCPU作成UVC)を実施する。セキュア・ゲストCPU作成UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージを、UVで使用するために、ゾーン・セキュリティ・テーブルに登録することができるが、関連するセキュア・ゲスト・ドメインはなく、関連するホスト仮想アドレス・ペアはないものとして登録する。
ハイパーバイザ(非セキュア)・ページA、B、およびCには、非セキュア・エンティティ(ハイパーバイザを含む)によってアクセスすることができる。さらに、ハイパーバイザ(非セキュア)・ページA、B、およびCは、非セキュア(NS)としてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に非セキュアおよび非共有として登録される。矢印1005において、初期化UVCが発行され、これにより、ゲスト・ページAをゾーン全体(UV2)に関連付けられたセキュア・インターフェース制御実ストレージ・ページ1010に移行させる。セキュア・インターフェース制御実ストレージ1010は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、セキュア・ゲスト・ドメイン無し、ハイパーバイザからホスト絶対への(HV->HA)マッピング無しで、UVとして登録され得る。代わりに、セキュア・インターフェース制御実ストレージ1010は、一意のUV2セキュア・ドメインに登録され、DAビットが1に設定される。なお、セキュア・インターフェース制御実ストレージ1010は、セキュア・インターフェース制御によって実アクセスとしてアクセスされ得る。
ハイパーバイザ(非セキュア)・ページBからの場合、矢印1025において、SG構成作成またはSG-CPU作成UVCが発行され、これにより、このページをセキュア・ゲスト・ドメイン(UVS)に関連付けられたセキュア・インターフェース制御実ストレージ1030に移行させる。セキュア・インターフェース制御実ストレージ1030は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、関連するセキュア・ゲスト・ドメイン有り、ハイパーバイザからホスト絶対への(HV->HA)マッピング無し(すなわち、DAビット=1)で、UVとして登録され得る。なお、セキュア・インターフェース制御実ストレージ1010は、セキュア・ゲスト・ドメインに代わってセキュア・インターフェース制御によって実アクセスとしてアクセスされ得る。
ハイパーバイザ(非セキュア)・ページCの場合、矢印1045において、SG構成作成UVCが発行され、これにより、このページをセキュア・ゲスト・ドメイン(UVV)に関連付けられたセキュア・インターフェース制御仮想ストレージ1050に移行させる。セキュア・インターフェース制御仮想ストレージ1050は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、セキュア・ゲスト・ドメイン有り、ハイパーバイザからホスト絶対への(HV->HA)マッピング有りで、UVとして登録され得る。なお、セキュア・インターフェース制御仮想ストレージ1050は、セキュア・ゲスト・ドメインに代わってUV仮想アクセスとしてアクセスされ得る。
次に図11を参照すると、1つまたは複数の実施形態による、プログラムまたはセキュア・インターフェース制御によって行われるセキュア・ストレージ・アクセスに関するプロセス・フロー1100が示されている。このフローは、セキュア・インターフェース制御がゲスト・ストレージまたはセキュア・インターフェース制御ストレージにアクセスしようとしており、ハードウェアがそのアクセスのセキュリティを検証できるようにするために、そのアクセスに正しくタグ付けしなければならないという状況を表す。1100は、セキュア・インターフェース制御によるストレージ・アクセスのこのタグ付けについて説明している。プロセス・フロー1100はブロック1110で開始し、セキュア・インターフェース制御は、セキュア・インターフェース制御がセキュア・インターフェース制御ストレージにアクセスしているかどうかを判定する。
アクセスがセキュア・インターフェース制御ストレージへのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)判定ブロック1112に進む。判定ブロック1112において、セキュア・インターフェース制御は、セキュア・インターフェース制御がセキュア・ゲスト・ストレージにアクセスしているかどうかを判定する。アクセスがセキュア・ゲスト・ストレージへのアクセスでない場合、プロセス・フロー1100は(図12のプロセス・フロー1200に接続されている)「B」に進み、非セキュア・アクセス用のデフォルト設定を使用することになる。アクセスがセキュア・ゲスト・ストレージへのアクセスである場合、プロセス・フロー1100は判定ブロック1113に進み、セキュア・インターフェース制御は、デフォルトのセキュア・ゲスト・ドメインが使用されているかどうかを判定する。はいの場合、プロセス・フロー1100は、(図12のプロセス・フロー1200に接続されている)「B」に進み、セキュア・ゲスト・アクセス用のデフォルト設定を使用することになる。いいえの場合、プロセス・フロー1100はブロック1114に進む。ブロック1114において、適切なセキュア・ゲスト・ドメインがSGセキュア・ドメイン・レジスタにロードされる(そして、図12のプロセス・フロー1200に接続されている「B」に進む)。
アクセスがセキュア・インターフェース制御ストレージへのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1120に進む。ブロック1120において、アクセスは、セキュアUVとしてタグ付けされる(例えば、UVセキュア・ドメイン・レジスタを使用する)。
次いで、プロセス・フロー1100は、判定ブロック1130に進み、セキュア・インターフェース制御は、アクセスがUVV空間(例えば、SG構成可変テーブル)へのアクセスであるかどうかを判定する。アクセスがUVV空間へのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1134に進む。ブロック1134において、アクセスは仮想アクセスとしてタグ付けされる。ブロック1136において、適用可能なセキュア・ゲスト・ドメインがUVセキュア・ドメイン・レジスタにロードされる。ブロック1138において、DAT変換およびストレージへのアクセスを開始する準備ができる。判定ブロック1130に戻ると、アクセスがUVV空間へのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)ブロック1140に進む。ブロック1140において、アクセスは、実アクセスとしてタグ付けされる。
判定ブロック1150において、セキュア・インターフェース制御は、このアクセスがUVS空間(例えば、SG構成またはCPUテーブル)へのアクセスであるかどうかを判定する。このアクセスがUVS空間へのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1136に進む。このアクセスがUVS空間へのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)ブロック1170に進む。このアクセスは、この場合、UV2空間(例えば、ゾーン・セキュリティ・テーブル)へのアクセスになる。ブロック1170において、一意のUV2セキュア・ドメインがUVセキュア・ドメイン・レジスタにロードされる。
図12は、本発明の1つまたは複数の実施形態によるプロセス・フロー1200を示す。ゲストがディスパッチされると、SIEエントリ・ファームウェアは、ゲストが実行されていること(例えば、ゲスト・モードがアクティブであること)をハードウェアに示すことができ、ゲストがセキュアであるかどうかを示すことができる。ゲストがセキュアである場合、関連するセキュア・ゲスト・ドメインが、ハードウェアに(例えば、SGセキュア・ドメイン・レジスタに)ロードされ得る。プログラムがストレージにアクセスしているとき、ハードウェアは、アクセス時のプログラムの現在の状態に基づいてアクセスにタグ付けすることができる。図12は、プロセス・フロー1200におけるこのプロセスの例を示している。ブロック1205において、ハードウェアは、マシンが現在ゲスト・モードで実行されているかどうかを判定することができ、ゲスト・モードで実行されていない場合、ブロック1210でアクセスをホスト・アクセスであるとしてタグ付けし、ブロック1215で非セキュア・アクセスであるとしてタグ付けすることができる。ブロック1205において、マシンがゲスト・モードで実行されている場合、ブロック1220において、アクセスは、ゲスト・アクセスとしてタグ付され得、ハードウェアはさらに、ブロック1225において、現在のゲストがセキュア・ゲストであるかどうかを判定することができる。ゲストがセキュアでない場合、ブロック1215において、アクセスは非セキュアとしてタグ付けされ得る。ゲストがセキュアである場合、ハードウェアは、ブロック1230において、ゲストをセキュアとしてタグ付けすることができ、これにより、セキュア・ゲストを、セキュア・ゲストがディスパッチされたときにロードされたSGセキュア・ドメイン・レジスタに関連付けることができる。ブロック1235において、非セキュア・ゲストとセキュア・ゲストの両方について、DATステータスがチェックされ得る。DATがオフの場合、ブロック1240において、アクセスは実アクセスとしてタグ付けされ得る。DATがオンの場合、ブロック1245において、アクセスは仮想アクセスとしてタグ付けされ得る。DATがオフであることによりブロック1240においてアクセスが実アクセスとしてタグ付けされるか、DATがオンであることによりブロック1245でアクセスが仮想アクセスとしてタグ付けされると、ブロック1250において、ハードウェアは、図13でさらに説明するように変換およびストレージへのアクセスを開始する準備ができる。
図13は、本発明の1つまたは複数の実施形態による、プロセス・フロー1300におけるセキュア・アクセスと非セキュア・アクセスの両方をサポートするためにハードウェアによって行われる変換の例を示す。ブロック1305において、ハードウェアは、アクセスがゲスト変換としてタグ付けされているかどうかを判定することができ、ゲスト変換としてタグ付けされており、ブロック1310においてアクセスが仮想アクセスである場合、ブロック1315において、ゲストDATが実行され得る。ゲストDAT変換中、ゲストDATテーブルについて、ネストされた中間フェッチが発生する可能性がある。元の変換がセキュアとしてタグ付けされている場合、テーブル・フェッチは、ゲスト実アクセスおよびセキュアとしてタグ付けされ得る。テーブル・フェッチは、プロセス・フロー1300の変換プロセスに従うこともできる。ブロック1315において、ゲスト仮想アクセスとしてタグ付けされたアクセスに対してゲストDATが実行され、ブロック1310において、ゲスト実アクセスとしてタグ付けされた任意のアクセス(仮想アクセス=いいえ)に対してゲストDATが実行された後、ブロック1320において、ゲスト・プレフィックス変換およびゲスト・メモリ・オフセットが適用され得る。ゲスト変換プロセスの完了時、ブロック1325において、元のゲスト変換がセキュアとしてタグ付けされている場合、結果として得られたアドレスは、ホスト仮想およびセキュアとしてタグ付けされ得る。プロセス1300は、ホスト仮想アクセスとしてタグ付けされた任意のアクセスに関して示されたように続行することができる。元のアクセスが、ブロック1305でホスト・アクセスであり(ゲスト=いいえ)、ブロック1330で仮想アクセスである場合、ブロック1335において、ホストDATが実行され得る。ブロック1335において、ホスト・テーブル・フェッチは、非セキュアとしてマークされ得る。ブロック1335でホストDATが実行された後、またはブロック1330で元のホスト・アクセスが実アクセスとしてタグ付けされた場合(仮想アクセス=いいえ)、ブロック1340において、ホスト・プレフィックス変換が適用され得る。ブロック1345において、結果として得られたアドレスは、ホスト絶対アドレスであり得る。
図14は、本発明の1つまたは複数の実施形態による、プロセス・フロー1400におけるハードウェアによって実行され得るセキュア・ストレージ保護を備えたDAT変換の例を示す。図13のブロック1345から続いて、ブロック1405においてセキュアUVアクセスが識別された場合、ブロック1410において、ハードウェアは、ストレージがセキュアUVストレージとして登録されているかどうかを検証することができ、セキュアUVストレージとして登録されていない場合、ブロック1415においてエラーが提示される。UVストレージにアクセスするとき、セキュア制御インターフェースによってセキュアUVアクセスを行うことができる。ブロック1410において、ストレージがセキュアUVストレージとして登録されている場合、(セキュアUVアクセスを行う前にセキュア制御インターフェースによってセットアップされた)UVセキュア・ドメイン・レジスタが、処理が続行するブロック1420でのドメイン・チェックのための指定されたセキュア・ドメインとして使用され得ることを除いて、保護チェックは、あらゆるセキュア・アクセスに対して実行され得るように継続することができる。さらに、(エントリ・ポイントDの)ブロック1425でUVアクセスについて検出された任意の違反は、ブロック1425でのセキュア・ゲスト違反(セキュアUV=いいえ)に対して行われるようなブロック1435でのハイパーバイザへの例外ではなく、ブロック1430においてエラーとして提示され得る。
ブロック1405でセキュアUVアクセスとしてタグ付けされないアクセスの場合、ブロック1440において、ハードウェアは、アクセスがセキュア・ゲスト・アクセスであるかどうかを判定し、セキュア・ゲスト・アクセスではなく、ブロック1445でページがセキュアとしてマークされている場合、ブロック1435において、ハイパーバイザに例外が提示され得る。そうではなく、ブロック1440でアクセスがセキュア・ゲスト・アクセスではなく、ブロック1445でページがセキュアとしてマークされていない場合、ブロック1450で変換が成功する。
ブロック1440において、アクセスがセキュア・ゲスト・アクセスである場合、またはブロック1410において、アクセスがセキュアUVストレージとして登録されたストレージへのセキュアUVアクセスである場合、ブロック1420において、ハードウェアは、ストレージがアクセスに関連付けられたセキュア・エンティティに登録されていることを確認するためにチェックすることができる。アクセスがセキュアUVアクセスである場合、UVセキュア・ドメイン・レジスタから、(アクセスされているセキュアUVストレージに基づいてセキュア制御インターフェースによってロードされた)指定されたセキュア・ドメインを取得することができ、セキュア・ゲスト・アクセスの場合、SGセキュア・ドメイン・レジスタから、(セキュア・エンティティがディスパッチされたときにロードされた)指定されたセキュア・ドメインを取得する。ブロック1420において、アクセスされているストレージが指定されたセキュア・ドメインに登録されていない場合、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。
ブロック1440およびブロック1410において、ストレージへのセキュア・アクセスであり、ブロック1420において、それらが、指定されたセキュア・ドメインに登録されている場合、ブロック1455で仮想アドレス・チェックが無効であり、すなわちDAビット=1であり、ブロック1460でアクセスが実アクセスであるとき、ブロック1450で変換が完了する。しかしながら、ブロック1455でDAビット=1であるが、ブロック1460でアクセスが仮想アクセスである場合(実アクセス=いいえ)、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。ブロック1455でDAビット=0であり、ブロック1475でアクセスが仮想アクセスである場合、ブロック1470において、ハードウェアは、アクセスのホスト仮想からホスト絶対へのマッピングが、このホスト絶対アドレスについて登録されたマッピングと一致するかどうかを判定することができる。一致する場合、ブロック1450で変換は正常に完了する。ブロック1470においてマッピングが一致しない場合、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。DAビット=0であり、ブロック1475でアクセスが実アクセスである場合(仮想アクセス=いいえ)、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。あるいは、ブロック1450で変換が正常に完了する場合がある。ブロック1480でのI/Oサブシステムによるアクセスは、ブロック1445でページがセキュアとしてマークされているかどうかを確認するためにチェックすることができ、ページがセキュアである場合、ブロック1435においてハイパーバイザに例外を提示することができ、ページがセキュアとしてマークされていない場合、ブロック1450で変換が成功する。
ストレージ登録およびマッピングの様々なチェックは、ゾーン・セキュリティ・テーブル・インターフェース1485を介して一括して管理され得る。例えば、ブロック1410、1420、1455、1470、および1475は、同じゾーンに関連付けられたゾーン・セキュリティ・テーブルとインターフェースして、様々なアクセスを管理することができる。
図15~図17および付随するテキストは、本発明の実施形態によるストレージ保護ハードウェアのテストを説明している。本発明の1つまたは複数の実施形態によれば、図15に示すように、テスト・ケースが補助セキュア(AS)デバッグ・モードで実行されるべきであることを示すために、内部ASデバッグ・ビットがハードウェアに設定される。また、図17に示す一実施形態では、テスト・ケースは、ゲストがASモードで実行されていることを明示的に指定している。ASモードである場合、ASエンティティおよび関連するハードウェアがテストされる。本明細書で使用される「補助セキュア」または「ASエンティティ」という用語は、ASモード・ビットおよび関連するASドメイン値を指し、「セキュア・ゲスト」または「SGエンティティ」という用語は、SGモード・ビットおよび関連するSGドメイン値を指す。本発明の1つまたは複数の実施形態によれば、既存のテスト・ケースは、解釈実行開始(SIE:Start Interpretive Execution)命令を発行して、セキュア・ゲストをディスパッチする。ASデバッグ・ビットがオフの場合、セキュア・インターフェース制御は、SIEエントリの一部としてセキュア・ゲスト・モードに入り、そうではなくASデバッグ・ビットがオンの場合、セキュア・インターフェース制御は、ASデバッグ・モードに入る。既存のテスト・ケースを変更する必要はない。1つまたは複数の他の実施形態では、(状態記述子内のセキュア・ゲスト・モード・ビットを、ASモードを示すものとして扱う)内部ハードウェアASデバッグ・ビットを使用するのではなく、状態記述子内に、デバッグのためだけに使用される独立したASモード・フィールドが定義され、テスト・ケースのわずかな変更で、セキュア・ゲストがASデバッグ・モードであることを指定できるようになる。この場合、テスト・ケースは、セキュア・ゲスト・モードとASモードとを切り替える能力を有し、2種類のストレージ間の分離をより良好にテストすることができる。ハードウェア内にASエンティティとSGエンティティの両方が存在する。(図15に示す)ASデバッグ・モードの場合、状態記述子にはSGエンティティのみが存在するが、SGエンティティはハードウェア内のASエンティティにロードされる。ASデバッグ・モードではなく、(図17に示す)特別なASモード・テストのためのサポートが提供されている場合、状態記述子には、(ASエンティティ・ハードウェアにロードされる)ASエンティティと(SGエンティティ・ハードウェアにロードされる)SGエンティティとの両方が存在する。
セキュア・ゲストがセキュア・ゲスト・モードでディスパッチされると、セキュア・ゲストのディスパッチ時にセキュア・インターフェース制御によって状態記述子からハードウェアに同様にロードされるセキュア・ゲスト・ドメイン(SGドメイン)レジスタをアクセス用のセキュア・ドメインIDとして使用するべきであることを示すために、ハードウェアにSGモード・ビットが設定される。SGモード・ビットおよびSGドメイン・レジスタは、セキュア・ゲストのセキュア・ゲスト・エンティティ状態と呼ばれ得る。これとは対照的に、ASデバッグ・モードでは、セキュア・ゲストがディスパッチされると、セキュア・ゲストのディスパッチ時にセキュア・インターフェース制御によって状態記述子のSGドメイン・フィールドからハードウェアにロードされるASドメイン・レジスタをアクセス用のセキュア・ドメインIDとして使用するべきであることを示すために、ハードウェアに(SGモード・ビットの代わりに)ASモード・ビットが設定される。ASモード・ビットおよびASドメイン・レジスタは、ASエンティティ状態と呼ばれ得る。SGドメイン・レジスタおよびASドメイン・レジスタはハードウェアに存在し、互いに異なる。ページへの許可されたアクセスを検証するために、アクセスによって示される指定されたセキュア・ドメインIDは、アクセスされているページに登録されているドメインのセキュア識別子と比較される。通常のセキュア・ゲストの動作中、セキュア・ゲスト・モードであるとき、SGドメイン(および関連するハードウェア)がストレージ・アクセスに使用される。ASドメイン(および関連するハードウェア)は、セキュア・インターフェース制御によってのみ指定することができ、その場合ASドメインは、非常に限られた状況(例えば、UVストレージにアクセスするときのみ特定のUVC命令の間)でのみ使用される。この新しいテスト・モードにより、多種多様な状況においてASアクセスのより広範なテストが可能になる。これについては、図15に示す。
次に図15を参照すると、本発明の1つまたは複数の実施形態による、セキュアVMを開始するためのハイパーバイザとして機能するテスト・ケースの例示的な方法のフローチャート1500が概略的に示されている。図15は、ハイパーバイザが実行されているホスト・サーバがASデバッグ・モードであるかどうかを示すためにビットが利用される一実施形態を示す。図15の例示的な方法に示すように、ブロック1505において、状態記述子(SD:state descriptor)がSIE命令のオペランドとして作成される。SDは、セキュアVMに割り当てられたプロセッサ上でエミュレートされるハードウェア状態を定義するフィールドを含む。
次に図16を参照すると、本発明の1つまたは複数の実施形態による、SD1600の例示的な構造が概略的に示されている。1つまたは複数の例では、セキュアVMと非セキュアVMの両方に対して、同じSDフォーマットが使用される。本発明の1つまたは複数の実施形態によれば、SD1600は、ディスパッチされているVMがセキュアであるのか非セキュアであるのかを示すために使用されるモード制御フィールド1602を含む。1つまたは複数の例において、モード制御フィールド1602は、ビットとすることができる。さらに、モード制御フィールド1602が、SD1600がセキュアVM用であることを示す場合、一意の識別指示子1604は、ディスパッチされている特定のセキュアVMにセキュア・ゲスト・ドメインIDを提供する。非セキュアVMの場合、一意の識別指示子1604は使用されず、0(またはフィールドが使用されていないことを示す任意の他の値)などのデフォルト値を含むことができる。図16に示すように、SD1600は、ゲスト状態を定義するための1つまたは複数のSDフィールド1606も含む。
図15を再び参照すると、ハイパーバイザは、SD1600をオペランドとするSIE命令を発行し、命令の実行はセキュア・インターフェース制御によって行われる。SIE命令は、VMを開始し、プロセッサおよび他のコンピューティング・リソースをVMに割り当てるために使用される。ブロック1510において、セキュア・インターフェース制御は、SD1600内のモード制御フィールド1602に基づいて、ディスパッチされるVMがセキュアであるかどうかを判定する。非セキュアVMがディスパッチされる場合、処理は、ブロック1515における非セキュアVMのディスパッチに進む。
ブロック1510においてセキュアVMがディスパッチされると判定された場合、処理はブロック1520に進み、セキュア・インターフェース制御はVMの状態の正確性を立証する。ブロック1540において、システムがASデバッグ・モードであるかどうかが判定される。システムがASデバッグ・モードである場合、処理はブロック1535に進み、セキュア・インターフェース制御は、(コンピューティング・リソースをASデバッグ・モードでVMに割り当てられるように構成するため)ハードウェアにASモード・ビットを設定する。処理はブロック1545に進み、セキュア・インターフェース制御は、セキュア・ゲスト・ドメインID1604をSD1600からASドメイン・レジスタにロードする。処理はブロック1550に進む。
ブロック1540においてシステムがASデバッグ・モードでないと判定された場合、処理はブロック1525に進み、セキュア・インターフェース制御は、コンピューティング・リソースをセキュア・ゲスト・モードでVMに割り当てられるように構成するために、ハードウェアにSGモード・ビットを設定する。ブロック1530において、セキュア・ゲスト・ドメインID1604がSGドメイン・レジスタにロードされる。処理はブロック1550に進む。
ブロック1550において、ゲスト状態が、SDフィールド1606からハードウェアにロードされる。次いで、1565で終了条件に達するまで、1560において、ディスパッチされたVMが実行される。終了条件には、命令または割り込みの解釈、VMを終了するためのユーザ要求などが含まれ得る。
次に図17を参照すると、本発明の1つまたは複数の実施形態による、セキュアVMを開始するためのハイパーバイザとして機能するテスト・ケースの例示的な方法のフローチャート1700が概略的に示されている。図17は、セキュアVMがASモードであるかどうかを示すために状態記述子内のビットが利用される一実施形態を示す。図17に示す実施形態では、セキュアVMは、ASモードとSGモードの両方を含むデュアル・セキュア・モードであることもできる。図17の例示的な方法に示すように、ブロック1705において、SDがSIE命令のオペランドとして作成される。図16のSD1600などのSDは、セキュアVMに割り当てられたプロセッサ上でエミュレートされるハードウェア状態を定義するフィールドを含む。図16を再び参照すると、一実施形態において、モード制御フィールド1602は、2ビットを含み、一方はセキュア・ゲスト・モードを示すためのビッドであり、他方は補助セキュア・モードを示すためのビットである。これらのビットは、4つの可能な組合せ、すなわち、両方のビットがオフの場合は非セキュアVMを表す、単一のビットがオンの場合はセキュア・ゲスト・モードもしくはASモードのいずれかを示す、または両方のビットがオンの場合は「デュアル・セキュア」モード(すなわち、セキュア・ゲスト・モードとASモードの両方)を示す、という組合せのいずれかにおいて指定され得る。この場合、2つの一意の識別指示子1604があり、一方は(セキュア・ゲスト・モードが指定されている場合に使用される)セキュア・ゲスト・ドメインを表し、他方は(補助セキュア・モードが指定されている場合に使用される)ASドメインを表す。
図17に戻ると、ハイパーバイザは、SDをオペランドとするSIE命令を発行し、命令の実行はセキュア・インターフェース制御によって行われる。SIE命令は、VMを開始し、プロセッサおよび他のコンピューティング・リソースをVMに割り当てるために使用される。ブロック1710において、セキュア・インターフェース制御は、ディスパッチされるVMがセキュアであるかどうかを判定する。非セキュアVMがディスパッチされる場合、処理は、ブロック1715における非セキュアVMのディスパッチに進む。
ブロック1710においてセキュアVMがディスパッチされると判定された場合、処理はブロック1720に進み、セキュア・インターフェース制御はVMの状態の正確性を立証する。ブロック1740において、(例えば、セキュアVMのSD内のビットに基づいて)セキュアVMが補助セキュア(AS)モードであるかどうかが判定される。セキュアVMがASモードでない場合、処理はブロック1748に進む。それとは反対に、セキュアVMがASモードである場合、処理はブロック1735に進み、セキュア・インターフェース制御は、(コンピューティング・リソースをASモードでVMに割り当てられるように構成するため)ハードウェアにASモード・ビットを設定する。処理はブロック1745に進み、セキュア・インターフェース制御は、セキュアVMのセキュア・ゲスト・ドメインIDをSDからASドメイン・レジスタにロードする。処理はブロック1748に進む。
ブロック1748において、セキュアVMがセキュア・ゲスト(SG)モードであるかどうかが判定される。セキュアVMがSGモードでない場合、処理はブロック1750に進む。それとは反対に、セキュアVMがSGモードである場合、処理はブロック1725に進み、セキュア・インターフェース制御は、コンピューティング・リソースをセキュア・ゲスト・モードでVMに割り当てられるように構成するために、ハードウェアにSGモード・ビットを設定する。ブロック1730において、セキュアVMのセキュア・ゲスト・ドメインIDがSGドメイン・レジスタにロードされる。処理はブロック1750に進む。
ブロック1750において、ゲスト状態が、SDのSDフィールドからハードウェアにロードされる。次いで、1765で終了条件に達するまで、1760において、ディスパッチされたVMが実行される。終了条件には、命令または割り込みの解釈、VMを終了するためのユーザ要求などが含まれ得る。
本開示はクラウド・コンピューティングに関する詳細な説明を含むが、本明細書に記載された教示の実装がクラウド・コンピューティング環境に限定されないことを理解されたい。むしろ、本発明の実施形態は、現在知られている、または後に開発される他の任意のタイプのコンピューティング環境と組み合わせて実装することが可能である。
クラウド・コンピューティングは、最小限の管理労力、またはサービス・プロバイダとの最小限の対話で迅速にプロビジョニングおよび解放され得る構成可能なコンピューティング・リソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、VM、およびサービス)の共用プールへの簡便かつオンデマンドのネットワーク・アクセスを可能にするためのサービス提供のモデルである。このクラウド・モデルは、少なくとも5つの特徴、少なくとも3つのサービス・モデル、および少なくとも4つの展開モデルを含むこともできる。
特徴は、以下の通りである。
オンデマンド・セルフサービス:クラウド・コンシューマは、サービス・プロバイダとの間で人間の対話を必要とすることなく、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージなどのコンピューティング機能を一方的にプロビジョニングすることができる。
広範なネットワーク・アクセス:機能は、ネットワーク上で利用可能であり、異種のシン・クライアント・プラットフォームまたはシック・クライアント・プラットフォーム(例えば、携帯電話、ラップトップ、およびPDA)による使用を促進する標準的なメカニズムを介してアクセスされる。
リソースのプール化:プロバイダのコンピューティング・リソースは、マルチテナント・モデルを使用して複数のコンシューマにサービス提供するようにプール化され、異なる物理リソースおよび仮想リソースが、要求に応じて動的に割り当ておよび再割り当てされる。コンシューマは一般に、提供されるリソースの正確な位置に対して制御も知識も有していないが、より高い抽象化レベルでは位置(例えば、国、州、またはデータ・センター)を特定し得るという点で、位置の独立性があるといえる。
迅速な柔軟性:機能を、迅速かつ柔軟に、場合によっては自動的にプロビジョニングして素早くスケール・アウトし、迅速に解放して素早くスケール・インすることができる。コンシューマにとっては、プロビジョニングに利用可能な機能は、しばしば無制限であるように見え、いつでも任意の数量で購入することができる。
サービスの測定:クラウド・システムは、サービスのタイプ(例えば、ストレージ、処理、帯域幅、およびアクティブなユーザ・アカウント)に適した一定の抽象化レベルでの計量機能を活用することによって、リソースの使用を自動的に制御および最適化する。リソースの使用状況を監視、制御、および報告することができ、利用するサービスのプロバイダとコンシューマの両方に透明性を提供する。
サービス・モデルは、以下の通りである。
ソフトウェア・アズ・ア・サービス(SaaS):クラウド・インフラストラクチャ上で動作しているプロバイダのアプリケーションを使用するために、コンシューマに提供される機能である。アプリケーションは、ウェブ・ブラウザ(例えば、ウェブ・ベースの電子メール)などのシン・クライアント・インターフェースを介して様々なクライアント・デバイスからアクセス可能である。限定されたユーザ固有のアプリケーション構成設定を想定される例外として、コンシューマは、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個々のアプリケーション機能でさえも含む基礎となるクラウド・インフラストラクチャを管理も制御もしない。
プラットフォーム・アズ・ア・サービス(PaaS):プロバイダによってサポートされるプログラミング言語およびツールを使用して生成されたコンシューマが生成または取得したアプリケーションをクラウド・インフラストラクチャ上に展開するために、コンシューマに提供される機能である。コンシューマは、ネットワーク、サーバ、オペレーティング・システム、またはストレージなどの基礎となるクラウド・インフラストラクチャを管理も制御もしないが、展開されたアプリケーション、および場合によってはアプリケーションをホストする環境構成を制御する。
インフラストラクチャ・アズ・ア・サービス(IaaS):オペレーティング・システムおよびアプリケーションを含み得る任意のソフトウェアをコンシューマが展開および動作させることができる、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースをプロビジョニングするために、コンシューマに提供される機能である。コンシューマは、基礎となるクラウド・インフラストラクチャを管理も制御もしないが、オペレーティング・システム、ストレージ、展開されたアプリケーションを制御し、場合によっては選択されたネットワーキング・コンポーネント(例えば、ホスト・ファイアウォール)を限定的に制御する。
展開モデルは、以下の通りである。
プライベート・クラウド:クラウド・インフラストラクチャは、ある組織のためだけに運用される。このクラウド・インフラストラクチャは、組織またはサード・パーティによって管理されてもよく、オンプレミスまたはオフプレミスで存在してもよい。
コミュニティ・クラウド:クラウド・インフラストラクチャは複数の組織で共有され、関心事項(例えば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンス上の考慮事項)を共有している特定のコミュニティをサポートする。このクラウド・インフラストラクチャは、組織またはサード・パーティによって管理されてもよく、オンプレミスまたはオフプレミスで存在してもよい。
パブリック・クラウド:クラウド・インフラストラクチャは、一般公衆または大規模な業界グループにとって利用可能であり、クラウド・サービスを販売する組織によって所有される。
ハイブリッド・クラウド:クラウド・インフラストラクチャは、固有のエンティティのままであるが、データおよびアプリケーションの移植性(例えば、クラウド間の負荷分散のためのクラウド・バースティング)を可能にする標準化された技術または専用の技術によって互いに結び付けられる2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)の合成である。
クラウド・コンピューティング環境は、ステートレス性、低結合性、モジュール性、および意味的相互運用性に焦点を置くことを重視したサービスである。クラウド・コンピューティングの中心は、相互接続されたノードのネットワークを含むインフラストラクチャである。
次に図18を参照すると、例示的なクラウド・コンピューティング環境50が示されている。図示のように、クラウド・コンピューティング環境50は、例えば、携帯情報端末(PDA:personal digital assistant)もしくは携帯電話54A、デスクトップ・コンピュータ54B、ラップトップ・コンピュータ54C、または自動車コンピュータ・システム54Nあるいはその組合せなどのクラウド・コンシューマによって使用されるローカル・コンピューティング・デバイスが通信することができる1つまたは複数のクラウド・コンピューティング・ノード10を含む。ノード10は、互いに通信してもよい。ノード10は、本明細書で上述したようなプライベート・クラウド、コミュニティ・クラウド、パブリック・クラウド、またはハイブリッド・クラウド、あるいはこれらの組合せなどの1つまたは複数のネットワーク内で物理的にまたは仮想的にグループ化されてもよい(図示せず)。これにより、クラウド・コンピューティング環境50は、インフラストラクチャ、プラットフォーム、またはソフトウェア・アズ・ア・サービス、あるいはその組合せを、クラウド・コンシューマがローカル・コンピューティング・デバイス上にリソースを保持する必要のないサービスとして提供することが可能になる。図18に示すコンピューティング・デバイス54A~54Nのタイプは、例示のみを意図しており、コンピューティング・ノード10およびクラウド・コンピューティング環境50は、(例えば、ウェブ・ブラウザを使用して)任意のタイプのネットワークまたはネットワーク・アドレス指定可能な接続あるいはその両方を介して任意のタイプのコンピュータ化されたデバイスと通信できることを理解されたい。
次に図19を参照すると、クラウド・コンピューティング環境50(図18)によって提供される機能抽象化層のセットが示されている。図19に示すコンポーネント、層、および機能は、例示のみを意図しており、本発明の実施形態はそれらに限定されないことを予め理解されたい。図示のように、以下の層および対応する機能が提供される。
ハードウェアおよびソフトウェア層60は、ハードウェア・コンポーネントおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例には、メインフレーム61、RISC(縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ62、サーバ63、ブレード・サーバ64、記憶デバイス65、ならびにネットワークおよびネットワーキング・コンポーネント66が含まれる。いくつかの実施形態では、ソフトウェア・コンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア67およびデータベース・ソフトウェア68を含む。
仮想化層70は、抽象化層を提供し、この層から仮想エンティティの以下の例、すなわち、仮想サーバ71、仮想ストレージ72、仮想プライベート・ネットワークを含む仮想ネットワーク73、仮想アプリケーションおよびオペレーティング・システム74、ならびに仮想クライアント75が提供され得る。
一例において、管理層82は、以下に記載の機能を提供することができる。リソース・プロビジョニング81は、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング・リソースおよび他のリソースの動的な調達を提供する。計量および価格決定82は、クラウド・コンピューティング環境内でリソースが利用されるときのコスト追跡、およびこれらのリソースの消費に対する課金または請求を提供する。一例において、これらのリソースは、アプリケーション・ソフトウェア・ライセンスを含むことがある。セキュリティは、クラウド・コンシューマおよびタスクのための本人確認、ならびにデータおよび他のリソースのための保護を提供する。ユーザ・ポータル83は、コンシューマおよびシステム管理者にクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理84は、要求されるサービス・レベルが満たされるように、クラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル・アグリーメント(SLA)の計画および履行85は、SLAに従って将来において要求されることが予想されるクラウド・コンピューティング・リソースの事前配置および調達を提供する。
ワークロード層90は、クラウド・コンピューティング環境が利用され得る機能の例を提供する。この層から提供され得るワークロードおよび機能の例には、マッピングおよびナビゲーション91、ソフトウェア開発およびライフサイクル管理92、仮想教室教育配信93、データ分析処理94、トランザクション処理95、ならびに仮想マシンのセキュア・ストレージへのアクセス制御96が含まれる。これらはほんの一例であり、他の実施形態では層が異なるサービスを含むこともできることを理解されたい。
次に図20を参照すると、本発明の1つまたは複数の実施形態によるシステム2000が示されている。システム2000は、ネットワーク165を介するなどして、1つまたは複数のクライアント・デバイス20A~20Eと直接的または間接的に通信している例示的なノード10(例えば、ホスティング・ノード)を含む。ノード10は、クラウド・コンピューティング・プロバイダのデータ・センターまたはホスト・サーバとすることができる。ノード10は、1つまたは複数のVM15(15A~15N)の展開を容易化するハイパーバイザ12を実行する。ノード10は、VM15A~VM15Nおよびハイパーバイザ12によって必要とされる機能を直接サポートするとともにハイパーバイザ12がVM15に1つまたは複数のサービスを提供することを容易化する、ハードウェア/ファームウェア層11をさらに含む。最新の実装では、ハードウェア/ファームウェア層11とハイパーバイザ12との間の通信、ハードウェア/ファームウェア層11とVM15との間の通信、ハイパーバイザ12とVM15との間の通信、およびハードウェア/ファームウェア層11を介したハイパーバイザ12とVM15との間の通信が提供される。本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御はハードウェア/ファームウェア層11内に設けられ、ハイパーバイザ12とVM15との間の直接の通信が排除される。
例えば、ノード10は、クライアント・デバイス20AがVM15A~15Nのうちの1つまたは複数を展開することを容易化することができる。VM15A~15Nは、別個のクライアント・デバイス20A~20Eからのそれぞれの要求に応答して展開されてもよい。例えば、VM15Aは、クライアント・デバイス20Aによって展開されてもよく、VM15Bは、クライアント・デバイス20Bによって展開されてもよく、VM15Cは、クライアント・デバイス20Cによって展開されてもよい。ノード10はまた、クライアントが(VMとして実行することなく)物理サーバをプロビジョニングすることを容易化することもできる。本明細書に記載の例は、ノード10内のリソースをVMの一部としてプロビジョニングすることを具現化するが、記載した技術上の解決策を適用して、リソースを物理サーバの一部としてプロビジョニングすることもできる。
一例において、クライアント・デバイス20A~20Eは、個人、企業、政府機関、会社内の部門、または他の任意のエンティティなどの同じエンティティに属することができ、ノード10は、エンティティのプライベート・クラウドとして動作されてもよい。この場合、ノード10は、エンティティに属するクライアント・デバイス20A~20Eによって展開されるVM15A~15Nのみをホストする。別の例では、クライアント・デバイス20A~20Eは、別個のエンティティに属してもよい。例えば、第1のエンティティは、クライアント・デバイス20Aを所有してもよく、第2のエンティティは、クライアント・デバイス20Bを所有してもよい。この場合、ノード10は、異なるエンティティからのVMをホストするパブリック・クラウドとして動作されてもよい。例えば、VM15A~15Nは、VM15AがVM15Bへのアクセスを容易化しない、覆い隠す方式(shrouded manner)で展開されてもよい。例えば、ノード10は、IBM z Systems(R)プロセッサ・リソース/システム・マネージャ(PR/SM:Resource/Systems Manager)論理パーティション(LPAR:Logical Partition)機能を使用して、VM15A~15Nを覆い隠すことができる。PR/SM LPARなどのこれらの機能は、パーティション間の分離を実現し、それにより、ノード10が異なる論理パーティション内の同じ物理ノード10上の異なるエンティティに対して2つ以上のVM15A~15Nを展開することを容易化する。この分離を実現するために、特定のハードウェアを備えた信頼できる内部ファームウェアに、PR/SM LPARハイパーバイザが実装される。
クライアント・デバイス20A~20Eの中のクライアント・デバイス20Aは、コンピュータ、スマートフォン、タブレット・コンピュータ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、サーバ・コンピュータ、またはノード10のハイパーバイザ12によるVMの展開を要求する他の任意の通信装置などの通信装置である。クライアント・デバイス20Aは、ネットワーク165を介してハイパーバイザによる受信を求める要求を送信してもよい。VM15A~15Nの中のVM15Aは、クライアント・デバイス20A~20Eの中のクライアント・デバイス20Aからの要求に応答してハイパーバイザ12が展開するVMイメージである。ハイパーバイザ12は、VMモニタ(VMM:VM monitor)であり、VMモニタは、VMを作成および実行するソフトウェア、ファームウェア、またはハードウェアとすることができる。ハイパーバイザ12は、VM15Aがノード10のハードウェア・コンポーネントを使用してプログラムを実行すること、またはデータを格納すること、あるいはその両方を容易化する。適切な機能および変更を加えたハイパーバイザ12は、IBM z Systems(R)、OracleのVM Server、CitrixのXenServer、VmwareのESX、Microsoft Hyper-V hypervisor、または他の任意のハイパーバイザとすることができる。ハイパーバイザ12は、ノード10上で直接実行するネイティブ・ハイパーバイザ、または別のハイパーバイザ上で実行するホストされたハイパーバイザとすることができる。
次に図21を参照すると、本発明の1つまたは複数の実施形態による、本明細書の教示を実施するためのノード10が示されている。ノード10は、本明細書に記載した様々な通信技術を利用する任意の数のコンピューティング・デバイスおよびネットワークならびにその組合せを備えるか、または展開するか、あるいはその両方である、電子コンピュータ・フレームワークとすることができる。ノード10は、異なるサービスに変化する、またはある機能を別の機能とは独立して再構成する能力を有する、容易に拡大縮小可能で拡張可能なモジュール式とすることができる。
この実施形態において、ノード10は、プロセッサ2101を有し、プロセッサ2101には、1つまたは複数の中央処理装置(CPU:central processing unit)2101a、2101b、2101cなどが含まれ得る。プロセッサ2101は、処理回路、マイクロプロセッサ、コンピューティング・ユニットとも呼ばれ、システム・バス2102を介してシステム・メモリ2103および他の様々なコンポーネントに結合される。システム・メモリ2103は、読み取り専用メモリ(ROM:read only memory)2104およびランダム・アクセス・メモリ(RAM:random access memory)2105を含む。ROM2104は、システム・バス2102に結合され、ノード10の特定の基本機能を制御する基本入出力システム(BIOS:basic input/output system)を含んでもよい。RAMは、プロセッサ2101によって使用するためにシステム・バス2102に結合された読み取り/書き込みメモリである。
図21のノード10は、ハード・ディスク2107を含み、ハード・ディスク2107は、プロセッサ2101によって読み取り可能で実行可能な有形記憶媒体の例である。ハード・ディスク2107は、ソフトウェア2108およびデータ2109を記憶する。ソフトウェア2108は、(図1~図20を参照して説明したプロセスなどのプロセスを実行するために)プロセッサ2101によってノード10上で実行するための命令として記憶される。データ2109は、ソフトウェア2108の動作をサポートし、ソフトウェア2108の動作によって使用される、様々なデータ構造で編成された質的変数または量的変数の一連の値を含む。
図21のノード10は、プロセッサ2101と、システム・メモリ2103と、ハード・ディスク2107と、ノード10の他のコンポーネント(例えば、周辺機器および外部デバイス)との間の通信を相互接続およびサポートする1つまたは複数のアダプタ(例えば、ハード・ディスク・コントローラ、ネットワーク・アダプタ、グラフィックス・アダプタなど)を含む。本発明の1つまたは複数の実施形態において、1つまたは複数のアダプタは、中間バス・ブリッジを介してシステム・バス2102に接続される1つまたは複数のI/Oバスに接続されることが可能であり、1つまたは複数のI/Oバスは、周辺機器相互接続(PCI:Peripheral Component Interconnect)などの一般的なプロトコルを利用することができる。
図示のように、ノード10は、キーボード2121、マウス2122、スピーカ2123、およびマイクロホン2124をシステム・バス2102に相互接続するインターフェース・アダプタ2120を含む。ノード10は、システム・バス2102をディスプレイ2131に相互接続するディスプレイ・アダプタ2130を含む。ディスプレイ・アダプタ2130(またはプロセッサ2101あるいはその両方)は、GUI2132の表示および管理などのグラフィックス性能を提供するためのグラフィックス・コントローラを含むことができる。通信アダプタ2141は、システム・バス2102をネットワーク2150と相互接続し、ノード10が、サーバ2151およびデータベース2152などの他のシステム、デバイス、データ、およびソフトウェアと通信できるようにする。本発明の1つまたは複数の実施形態において、ソフトウェア2108およびデータ2109の動作は、サーバ2151およびデータベース2152によってネットワーク2150上で実施することができる。例えば、ネットワーク2150、サーバ2151、およびデータベース2152を組み合わせて、ソフトウェア2108およびデータ2109の内部反復を、プラットフォーム・アズ・ア・サービス、ソフト・ウェア・アズ・ア・サービス、またはインフラストラクチャ・アズ・ア・サービスあるいはその組合せとして(例えば、分散システムのウェブ・アプリケーションとして)提供することができる。
本明細書に記載の実施形態は、コンピュータ技術、具体的にはVMをホストするコンピュータ・サーバに必然的に根ざしている。さらに、本発明の1つまたは複数の実施形態は、セキュアVMに関連付けられたメモリ、レジスタ、および他のそのようなデータへのアクセスがハイパーバイザでさえ禁止されるセキュアVMを、VMをホストするコンピュータ・サーバがホストすることを容易化することによって、コンピューティング技術自体、具体的にはVMをホストするコンピュータ・サーバの動作の改善を容易化する。さらに、本発明の1つまたは複数の実施形態は、ハードウェア、ファームウェア(例えば、ミリコード)、またはその組合せを含むセキュア・インターフェース制御(本明細書では「UV」とも呼ぶ)を使用してセキュアVMおよびハイパーバイザの分離を容易化し、それによりコンピュータ・サーバによってホストされるVMのセキュリティを維持することによって、コンピュータ・サーバをホストするVMの改善に向けた重要なステップを提供する。セキュア・インターフェース制御は、本明細書に記載のように、VMの初期化/終了中にVMの状態をセキュアにする際に大幅なオーバーヘッドを追加することなくセキュリティを容易化するための、軽い中間動作を提供する。
本明細書に開示される本発明の実施形態は、VMのセキュア・ストレージへのアクセスを制御するシステム、方法、またはコンピュータ・プログラム製品(本明細書では、システム)あるいはその組合せを含むこともできる。なお、説明ごとに、要素の識別子は、異なる図の他の同様の要素に再利用されている。
本明細書では、本発明の様々な実施形態について、関連する図面を参照して説明している。本発明の範囲から逸脱することなく、本発明の代替の実施形態も考案することができる。以下の説明および図面では、要素間の様々な接続および位置関係(例えば、上、下、隣接など)が記載されている。これらの接続または位置関係あるいはその両方は、特に明記されていない限り、直接的または間接的とすることができ、本発明はこの点に関して限定するよう意図されていない。したがって、エンティティの結合は、直接的または間接的な結合のいずれかを指す場合があり、エンティティ間の位置関係は、直接的または間接的な位置関係である場合がある。さらに、本明細書に記載の様々なタスクおよびプロセス・ステップは、本明細書に詳細に記載されていない追加のステップまたは機能を有するより包括的な手順またはプロセスに組み込むことができる。
特許請求の範囲および本明細書の解釈のために、以下の定義および略語を使用するものとする。本明細書で使用する「備える(comprises)」、「備えている(comprising)」、「含む(includes)」、「含んでいる(including)」、「有する(has)」、「有している(having)」、「含有する(contains)」、もしくは「含有している(containing)」という用語、またはこれらの他の任意の変形は、非排他的な包含を対象とするよう意図されている。例えば、列挙されている要素を含む組成物、混合物、プロセス、方法、物品、または装置は、必ずしもそれらの要素のみに限定されるわけではなく、明示的に列挙されていないかまたはそのような組成物、混合物、プロセス、方法、物品、または装置に固有の他の要素を含むことができる。
さらに、本明細書において、「例示的」という用語は、「例、実例、または例示としての役割を果たす」ことを意味するように使用されている。本明細書において「例示的」と記載されているいずれの実施形態または設計も、他の実施形態または設計と比較して、必ずしも好ましいまたは有利であると解釈されるべきではない。「少なくとも1つ」および「1つまたは複数」という用語は、1以上の任意の整数、すなわち1、2、3、4などを含むと理解され得る。「複数」という用語は、2以上の任意の整数、すなわち2、3、4、5などを含むと理解され得る。「接続」という用語は、間接的「接続」および直接的「接続」を含むこともできる。
「約」、「実質的に」、「おおよそ」という用語およびそれらの変形は、本出願時に利用可能な機器に基づく特定の量の測定に関連した誤差の程度を含むことを意図している。例えば、「約」は、所与の値の±8%もしくは5%または2%の範囲を含むことができる。
本発明は、任意の可能な技術的詳細の統合レベルでのシステム、方法、またはコンピュータ・プログラム製品あるいはその組合せとすることができる。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実施させるためのコンピュータ可読プログラム命令を有するコンピュータ可読記憶媒体(または複数のコンピュータ可読記憶媒体)を含んでもよい。
コンピュータ可読記憶媒体は、命令実行デバイスが使用するための命令を保持および記憶することができる有形デバイスとすることができる。コンピュータ可読記憶媒体は、例えば、電子記憶デバイス、磁気記憶デバイス、光学記憶デバイス、電磁気記憶デバイス、半導体記憶デバイス、または上記の任意の適切な組合せとすることができるが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストには以下のもの、すなわち、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM)、デジタルバーサタイルディスク(DVD)、メモリ・スティック、フロッピ(R)・ディスク、パンチカードまたは命令が記録された溝内の隆起構造などの機械的に符号化されたデバイス、および上記の任意の適切な組合せが含まれる。本明細書で使用するコンピュータ可読記憶媒体は、電波もしくは他の自由に伝播する電磁波、導波路もしくは他の伝送媒体を介して伝播する電磁波(例えば、光ファイバ・ケーブルを通る光パルス)、または電線を介して送信される電気信号などの、一過性の信号自体であると解釈されるべきではない。
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、または、ネットワーク、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、またはワイヤレス・ネットワークあるいはその組合せを介して外部コンピュータまたは外部記憶デバイスにダウンロードされ得る。ネットワークは、銅伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバあるいはその組合せを含んでもよい。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体での記憶のために転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、インストラクション・セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路用の構成データ、または、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語および「C」プログラミング言語もしくは同様のプログラム言語などの手続き型プログラミング言語を含む1つもしくは複数のプログラミング言語の任意の組合せで書かれたソース・コードもしくはオブジェクト・コードのいずれかとすることができる。コンピュータ可読プログラム命令は、スタンドアロン・ソフトウェア・パッケージとして全体がユーザのコンピュータ上で、一部がユーザのコンピュータ上で、一部がユーザのコンピュータ上かつ一部がリモート・コンピュータ上で、または全体がコンピュータ上もしくはサーバ上で実行されてもよい。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータに対して接続されてもよい。いくつかの実施形態では、本発明の態様を実行するために、コンピュータ可読プログラム命令の状態情報を利用して、例えばプログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路をパーソナライズすることによって、電子回路がコンピュータ可読プログラム命令を実行してもよい。
本発明の態様は、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照しながら本明細書で説明されている。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方のブロックの組合せは、コンピュータ可読プログラム命令によって実施され得ることが理解されよう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラマブル・データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作を実施するための手段を作り出すように、汎用コンピュータ、専用コンピュータ、または他のプログラマブル・データ処理装置のプロセッサに提供されて、マシンを生成するものであってもよい。また、これらのコンピュータ可読プログラム命令は、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作の態様を実施する命令を含む製造品を含むように、コンピュータ可読記憶媒体に記憶され、コンピュータ、プログラマブル・データ処理装置、または他のデバイスあるいはその組合せに対して特定の方式で機能するように指示できるものであってもよい。
また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラマブル装置、または他のデバイスで実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作を実施するように、コンピュータ実施プロセスを生成するべくコンピュータ、他のプログラマブル・データ処理装置、または他のデバイスにロードされて、コンピュータ、他のプログラマブル装置、または他のデバイス上で一連の動作ステップを実行させるものであってもよい。
図中のフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法およびコンピュータ・プログラム製品の可能な実装形態のアーキテクチャ、機能、および動作を示す。この点に関連して、フローチャートまたはブロック図の各ブロックは、指定された論理機能を実装するための1つまたは複数の実行可能命令を含む、命令のモジュール、セグメント、または一部を表すことがある。いくつかの代替の実装形態では、ブロックに記載された機能は、図に記載された順序とは異なる順序で行われてもよい。例えば、連続して示されている2つのブロックは、実際には、関与する機能に応じて、実質的に同時に実行されてもよく、またはそれらのブロックは、場合によっては逆の順序で実行されてもよい。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方のブロックの組合せは、指定された機能または動作を実行するか、あるいは専用ハードウェアとコンピュータ命令との組合せを遂行する専用ハードウェア・ベースのシステムによって実装され得ることにも留意されたい。
本明細書で使用される用語は、特定の実施形態を説明することのみを目的としており、限定することを意図するものではない。本明細書で使用される場合、単数形「ある(a)」、「1つの(an)」および「その(the)」は、文脈上特に明記されていない限り、複数形も含むことを意図している。「備える」または「備えている」あるいはその両方の用語は、本明細書で使用される場合、記載された特徴、整数、ステップ、動作、要素、またはコンポーネントあるいはその組合せの存在を示すが、1つまたは複数の他の機能、整数、ステップ、動作、要素、コンポーネント、またはこれらのグループ、あるいはその組合せの存在または追加を除外するものではないことが、さらに理解されよう。
本明細書における様々な実施形態の説明を例示の目的で提示してきたが、網羅的であることも、開示された実施形態に限定されることも意図されていない。当業者には、説明した実施形態の範囲および思想から逸脱することなく多くの変更形態および変形形態が明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の適用例、もしくは市場で見られる技術を超える技術的な改良を最も良く説明するように、または本明細書で開示される実施形態を当業者が理解することが可能になるように選択されたものである。

Claims (25)

  1. ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することと、
    前記ホスト・サーバのセキュア・インターフェース制御によって、前記ホスト・サーバが補助セキュア(AS)エンティティをテストするためのASデバッグ・モードであるかどうかを判定することと、
    前記ホスト・サーバが前記ASデバッグ・モードであるとの判定に基づいて、セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアであり、前記ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストすることと
    を含む、方法。
  2. 前記セキュア・エンティティをディスパッチすることをさらに含む、請求項1に記載の方法。
  3. 前記ASエンティティ状態がドメインおよびモード・ビットを含む、請求項1または2に記載の方法。
  4. 前記判定することが、1つまたは複数のハードウェア・ビットに基づく、請求項1~3の何れか1項に記載の方法。
  5. 前記ホスト・サーバが前記ASデバッグ・モードでないとの判定に基づいて、前記セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの前記状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストすること
    をさらに含む、請求項1~4の何れか1項に記載の方法。
  6. 前記信頼されていないエンティティがハイパーバイザであり、前記セキュア・エンティティがセキュア仮想マシン(VM)である、請求項1~5の何れか1項に記載の方法。
  7. 前記セキュア・エンティティがテスト・ケースである、請求項1~6の何れか1項に記載の方法。
  8. システムであって、
    メモリと、
    セキュア・インターフェース制御と、
    前記メモリおよび前記セキュア・インターフェース制御に結合されたホスト・サーバと
    を備え、前記システムが、
    前記ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することと、
    前記セキュア・インターフェース制御によって、前記ホスト・サーバが補助セキュア(AS)エンティティをテストするためのASデバッグ・モードであるかどうかを判定することと、
    前記ホスト・サーバが前記ASデバッグ・モードであるとの判定に基づいて、セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアであり、前記ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストすることと
    を含む動作を実行するように構成される、システム。
  9. 前記動作が、前記セキュア・エンティティをディスパッチすることをさらに含む、請求項8に記載のシステム。
  10. 前記ASエンティティ状態が、ドメインおよびモード・ビットを含む、請求項8または9に記載のシステム。
  11. 前記判定することが、1つまたは複数のハードウェア・ビットに基づく、請求項8~10の何れか1項に記載のシステム。
  12. 前記動作が、
    前記ホスト・サーバが前記ASデバッグ・モードでないとの判定に基づいて、前記セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの前記状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストすること
    をさらに含む、請求項8~11の何れか1項に記載のシステム。
  13. 前記信頼されていないエンティティがハイパーバイザであり、前記セキュア・エンティティがセキュア仮想マシン(VM)である、請求項8~12の何れか1項に記載のシステム。
  14. 前記セキュア・エンティティがテスト・ケースである、請求項8~13の何れか1項に記載のシステム。
  15. 請求項1~7の何れか1項に記載の方法を、コンピュータに実行させる、コンピュータ・プログラム。
  16. ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することと、
    前記ホスト・サーバのセキュア・インターフェース制御によって、前記セキュア・エンティティが補助セキュア(AS)エンティティをテストするためのASモードであるかどうかを判定することと、
    前記セキュア・エンティティがASデバッグ・モードであるとの判定に基づいて、ASエンティティ状態を前記セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアであり、ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストすることと
    を含む、方法。
  17. 前記セキュア・エンティティがASモードであるとの判定に基づいて、
    前記ホスト・サーバの前記セキュア・インターフェース制御によって、前記セキュア・エンティティがセキュア・ゲスト・モードでもあるかどうかを判定することと、
    前記セキュア・エンティティが前記セキュア・ゲスト・モードでもあるとの判定に基づいて、セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの前記状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストすることと
    をさらに含む、請求項16に記載の方法。
  18. 前記方法が、前記セキュア・エンティティをディスパッチすることをさらに含む、請求項16または17に記載の方法。
  19. 前記セキュア・ゲスト・エンティティ状態が、ドメインおよびモード・ビットを含む、請求項16~18の何れか1項に記載の方法。
  20. 前記ASエンティティ状態が、ドメインおよびモード・ビットを含む、請求項16~19の何れか1項に記載の方法。
  21. 前記判定することが、前記セキュア・エンティティの前記状態記述子内のビットに基づく、請求項16~20の何れか1項に記載の方法。
  22. 前記信頼されていないエンティティがハイパーバイザであり、前記セキュア・エンティティがセキュア仮想マシン(VM)である、請求項16~21の何れか1項に記載の方法。
  23. 前記セキュア・エンティティがテスト・ケースである、請求項16~22の何れか1項に記載の方法。
  24. システムであって、
    メモリと、
    セキュア・インターフェース制御と、
    前記メモリおよび前記セキュア・インターフェース制御に結合されたホスト・サーバと
    を備え、前記システムが、
    ホスト・サーバ上で実行されている信頼されていないエンティティによって、セキュア・エンティティをディスパッチするよう求める要求を受信することと、
    前記ホスト・サーバのセキュア・インターフェース制御によって、前記セキュア・エンティティが補助セキュア(AS)エンティティをテストするためのASモードであるかどうかを判定することと、
    前記セキュア・エンティティがASデバッグ・モードであるとの判定に基づいて、ASエンティティ状態を前記セキュア・エンティティの状態記述子からハードウェア内のASエンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアであり、ASエンティティに属するものとして登録されているメモリ内のページへのアクセスをテストすることと
    を含む動作を実行するように構成される、システム。
  25. 前記動作が、前記セキュア・エンティティがASデバッグ・モードであるとの判定に基づいて、
    前記ホスト・サーバの前記セキュア・インターフェース制御によって、前記セキュア・エンティティがセキュア・ゲスト・モードでもあるかどうかを判定することと、
    前記セキュア・エンティティが前記セキュア・ゲスト・モードでもあるとの判定に基づいて、セキュア・ゲスト・エンティティ状態を前記セキュア・エンティティの前記状態記述子からハードウェア内のセキュア・ゲスト・エンティティ状態にロードして、前記セキュア・エンティティのディスパッチ時に、セキュアとして登録されているメモリ内のページへのアクセスをテストすることと
    をさらに含む、請求項24に記載のシステム。
JP2021551892A 2019-03-08 2020-03-06 セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム Active JP7373578B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/296,310 US11455398B2 (en) 2019-03-08 2019-03-08 Testing storage protection hardware in a secure virtual machine environment
US16/296,310 2019-03-08
PCT/IB2020/051957 WO2020183317A1 (en) 2019-03-08 2020-03-06 Testing storage protection hardware in secure virtual machine environment

Publications (3)

Publication Number Publication Date
JP2022523787A JP2022523787A (ja) 2022-04-26
JPWO2020183317A5 JPWO2020183317A5 (ja) 2022-08-15
JP7373578B2 true JP7373578B2 (ja) 2023-11-02

Family

ID=72335221

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021551892A Active JP7373578B2 (ja) 2019-03-08 2020-03-06 セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム

Country Status (6)

Country Link
US (1) US11455398B2 (ja)
JP (1) JP7373578B2 (ja)
CN (1) CN113544645B (ja)
DE (1) DE112020000303T5 (ja)
GB (1) GB2598222B (ja)
WO (1) WO2020183317A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11308215B2 (en) * 2019-03-08 2022-04-19 International Business Machines Corporation Secure interface control high-level instruction interception for interruption enablement
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage
US11347529B2 (en) 2019-03-08 2022-05-31 International Business Machines Corporation Inject interrupts and exceptions into secure virtual machine
US11283800B2 (en) 2019-03-08 2022-03-22 International Business Machines Corporation Secure interface control secure storage hardware tagging
US11068310B2 (en) 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
CN117172207B (zh) * 2023-11-02 2024-01-30 摩尔线程智能科技(北京)有限责任公司 系统总线互联验证方法、装置、电子设备、存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004171565A (ja) 2002-11-18 2004-06-17 Arm Ltd マルチドメインプロセッサのための診断データ捕捉制御
JP2009176297A (ja) 2008-01-24 2009-08-06 Arm Ltd 診断コンテキストの構成および比較

Family Cites Families (85)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4245302A (en) 1978-10-10 1981-01-13 Magnuson Computer Systems, Inc. Computer and method for executing target instructions
US4787031A (en) 1985-01-04 1988-11-22 Digital Equipment Corporation Computer with virtual machine mode and multiple protection rings
US8108873B1 (en) 1999-05-28 2012-01-31 Oracle International Corporation System for extending an addressable range of memory
US7194740B1 (en) 1999-05-28 2007-03-20 Oracle International Corporation System for extending an addressable range of memory
US6678815B1 (en) 2000-06-27 2004-01-13 Intel Corporation Apparatus and method for reducing power consumption due to cache and TLB accesses in a processor front-end
US8037530B1 (en) 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US7433951B1 (en) 2000-09-22 2008-10-07 Vmware, Inc. System and method for controlling resource revocation in a multi-guest computer system
US7191440B2 (en) 2001-08-15 2007-03-13 Intel Corporation Tracking operating system process and thread execution and virtual machine execution in hardware or in a virtual machine monitor
US7069442B2 (en) 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
US20030226014A1 (en) 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
AU2003278350A1 (en) * 2002-11-18 2004-06-15 Arm Limited Secure memory for protecting against malicious programs
US7149862B2 (en) 2002-11-18 2006-12-12 Arm Limited Access control in a data processing apparatus
WO2005036367A2 (en) 2003-10-08 2005-04-21 Unisys Corporation Virtual data center that allocates and manages system resources across multiple nodes
US7191292B2 (en) 2004-06-04 2007-03-13 Sun Microsystems, Inc. Logging of level-two cache transactions into banks of the level-two cache for system rollback
US7475166B2 (en) 2005-02-28 2009-01-06 International Business Machines Corporation Method and system for fully trusted adapter validation of addresses referenced in a virtual host transfer request
US7685635B2 (en) 2005-03-11 2010-03-23 Microsoft Corporation Systems and methods for multi-level intercept processing in a virtual machine environment
US20070094323A1 (en) 2005-10-25 2007-04-26 Smith Jeffrey C Managed resource sharing method and apparatus
US20080294866A1 (en) 2007-05-22 2008-11-27 Hewlett-Packard Development Company, L.P. Method And Apparatus For Memory Management
US8219989B2 (en) 2007-08-02 2012-07-10 International Business Machines Corporation Partition adjunct with non-native device driver for facilitating access to a physical input/output device
US8010763B2 (en) 2007-08-02 2011-08-30 International Business Machines Corporation Hypervisor-enforced isolation of entities within a single logical partition's virtual address space
US8156298B1 (en) * 2007-10-24 2012-04-10 Adam Stubblefield Virtualization-based security apparatuses, methods, and systems
US8176280B2 (en) * 2008-02-25 2012-05-08 International Business Machines Corporation Use of test protection instruction in computing environments that support pageable guests
US8458438B2 (en) 2008-02-26 2013-06-04 International Business Machines Corporation System, method and computer program product for providing quiesce filtering for shared memory
GB2460393B (en) * 2008-02-29 2012-03-28 Advanced Risc Mach Ltd A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry
US8607020B2 (en) 2008-06-06 2013-12-10 International Business Machines Corporation Shared memory partition data processing system with hypervisor managed paging
US8799892B2 (en) 2008-06-09 2014-08-05 International Business Machines Corporation Selective memory donation in virtual real memory environment
US8151032B2 (en) 2008-06-26 2012-04-03 Microsoft Corporation Direct memory access filter for virtualized operating systems
US8261320B1 (en) 2008-06-30 2012-09-04 Symantec Corporation Systems and methods for securely managing access to data
US9087200B2 (en) * 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
US20110153944A1 (en) 2009-12-22 2011-06-23 Klaus Kursawe Secure Cache Memory Architecture
US8510599B2 (en) 2010-06-23 2013-08-13 International Business Machines Corporation Managing processing associated with hardware events
US20120297177A1 (en) 2010-11-15 2012-11-22 Ghosh Anup K Hardware Assisted Operating System Switch
CN102594852B (zh) 2011-01-04 2016-03-30 中国移动通信集团公司 数据访问方法、节点及系统
KR20120097136A (ko) 2011-02-24 2012-09-03 삼성전자주식회사 가상화 환경에서의 메모리 풀 관리
EP2689368A4 (en) * 2011-03-22 2014-08-20 Ericsson Telefon Ab L M METHOD FOR EXECUTING SWITCHING BETWEEN OPERATION IN VIRTUALIZED SYSTEM AND OPERATION IN NON-VIRTUALIZED SYSTEM
US8590005B2 (en) 2011-06-08 2013-11-19 Adventium Enterprises, Llc Multi-domain information sharing
US9141785B2 (en) 2011-08-03 2015-09-22 Cloudbyte, Inc. Techniques for providing tenant based storage security and service level assurance in cloud storage environment
US8788763B2 (en) 2011-10-13 2014-07-22 International Business Machines Corporation Protecting memory of a virtual guest
US9251039B2 (en) 2012-02-17 2016-02-02 Microsoft Technology Licensing, Llc Remote debugging as a service
US20140007189A1 (en) 2012-06-28 2014-01-02 International Business Machines Corporation Secure access to shared storage resources
CN103729230B (zh) 2012-10-11 2017-04-12 财团法人工业技术研究院 虚拟机系统的内存管理方法和计算机系统
JP5992632B2 (ja) 2012-11-21 2016-09-14 アップル インコーポレイテッド アクセス制御を管理するためのポリシーベース技法
US9185114B2 (en) 2012-12-05 2015-11-10 Symantec Corporation Methods and systems for secure storage segmentation based on security context in a virtual environment
US9235692B2 (en) * 2013-12-13 2016-01-12 International Business Machines Corporation Secure application debugging
US9792448B2 (en) 2014-02-28 2017-10-17 Advanced Micro Devices, Inc. Cryptographic protection of information in a processing system
WO2015132753A1 (en) 2014-03-07 2015-09-11 Eco4Cloud S.R.L. Method for memory management in virtual machines, and corresponding system and computer program product
US9483639B2 (en) 2014-03-13 2016-11-01 Unisys Corporation Service partition virtualization system and method having a secure application
US9672058B2 (en) 2014-03-13 2017-06-06 Unisys Corporation Reduced service partition virtualization system and method
GB2525596B (en) * 2014-04-28 2021-05-26 Arm Ip Ltd Access control and code scheduling
CN105095094B (zh) 2014-05-06 2018-11-30 华为技术有限公司 内存管理方法和设备
US9952887B2 (en) * 2014-06-23 2018-04-24 Vmware, Inc. Device simulation in a secure mode supported by hardware architectures
US9792222B2 (en) 2014-06-27 2017-10-17 Intel Corporation Validating virtual address translation by virtual machine monitor utilizing address validation structure to validate tentative guest physical address and aborting based on flag in extended page table requiring an expected guest physical address in the address validation structure
US9553850B2 (en) 2014-06-30 2017-01-24 International Business Machines Corporation Multi-tenant secure separation of data in a cloud-based application
KR101592782B1 (ko) 2014-11-05 2016-02-12 플러스기술주식회사 전가상화 시스템에서 자원을 감시하는 장치 및 방법
US20170364685A1 (en) 2014-11-20 2017-12-21 Interdigital Patent Holdings. Inc. Providing security to computing systems
US9870324B2 (en) * 2015-04-09 2018-01-16 Vmware, Inc. Isolating guest code and data using multiple nested page tables
US9875047B2 (en) 2015-05-27 2018-01-23 Red Hat Israel, Ltd. Exit-less host memory locking in a virtualized environment
US10114958B2 (en) * 2015-06-16 2018-10-30 Microsoft Technology Licensing, Llc Protected regions
US9942035B2 (en) * 2015-08-18 2018-04-10 Intel Corporation Platform migration of secure enclaves
US9558004B1 (en) 2015-10-16 2017-01-31 International Business Machines Corporation Inter-platform management of computing resources
US10019279B2 (en) 2015-12-17 2018-07-10 International Business Machines Corporation Transparent secure interception handling
US10013579B2 (en) 2015-12-23 2018-07-03 Intel Corporation Secure routing of trusted software transactions in unsecure fabric
US10516533B2 (en) 2016-02-05 2019-12-24 Mohammad Mannan Password triggered trusted encryption key deletion
US10152350B2 (en) * 2016-07-01 2018-12-11 Intel Corporation Secure domain manager
US10585805B2 (en) 2016-07-29 2020-03-10 Advanced Micro Devices, Inc. Controlling access to pages in a memory in a computing device
US10462219B2 (en) 2016-08-10 2019-10-29 Iboss, Inc. Distributed network security system providing isolation of customer data
US20180260251A1 (en) 2016-08-28 2018-09-13 Vmware, Inc. Use of nested hypervisors by a resource-exchange system to enhance data and operational security and to facilitate component installation
US10528721B2 (en) 2016-10-20 2020-01-07 Intel Corporation Trusted packet processing for multi-domain separatization and security
US9710395B1 (en) 2016-10-26 2017-07-18 International Business Machines Corporation Dynamic address translation table allocation
US10380032B2 (en) 2017-03-09 2019-08-13 Internatinoal Business Machines Corporation Multi-engine address translation facility
EP3602376B1 (en) 2017-03-29 2022-03-30 Advanced Micro Devices, Inc. Monitoring of memory page transitions between a hypervisor and a virtual machine
US10650157B2 (en) * 2017-04-30 2020-05-12 Microsoft Technology Licensing, Llc Securing virtual execution environments
US10387686B2 (en) 2017-07-27 2019-08-20 International Business Machines Corporation Hardware based isolation for secure execution of virtual machines
US11687654B2 (en) * 2017-09-15 2023-06-27 Intel Corporation Providing isolation in virtualized systems using trust domains
US10671737B2 (en) * 2017-11-10 2020-06-02 Intel Corporation Cryptographic memory ownership table for secure public cloud
US10474382B2 (en) 2017-12-01 2019-11-12 Red Hat, Inc. Fast virtual machine storage allocation with encrypted storage
US10552344B2 (en) * 2017-12-26 2020-02-04 Intel Corporation Unblock instruction to reverse page block during paging
US11436341B2 (en) 2018-04-10 2022-09-06 Bushra Abbas Mohammed AL BELOOSHI System and method for cryptographic keys security in the cloud
US11258861B2 (en) 2018-06-29 2022-02-22 Intel Corporation Secure reporting of platform state information to a remote server
US11461244B2 (en) * 2018-12-20 2022-10-04 Intel Corporation Co-existence of trust domain architecture with multi-key total memory encryption technology in servers
US11182192B2 (en) 2019-03-08 2021-11-23 International Business Machines Corporation Controlling access to secure storage of a virtual machine
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage
US11068310B2 (en) 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11283800B2 (en) 2019-03-08 2022-03-22 International Business Machines Corporation Secure interface control secure storage hardware tagging

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004171565A (ja) 2002-11-18 2004-06-17 Arm Ltd マルチドメインプロセッサのための診断データ捕捉制御
JP2009176297A (ja) 2008-01-24 2009-08-06 Arm Ltd 診断コンテキストの構成および比較

Also Published As

Publication number Publication date
JP2022523787A (ja) 2022-04-26
US20200285493A1 (en) 2020-09-10
GB2598222A (en) 2022-02-23
GB2598222B (en) 2022-07-06
CN113544645A (zh) 2021-10-22
CN113544645B (zh) 2023-02-24
DE112020000303T5 (de) 2021-09-30
US11455398B2 (en) 2022-09-27
GB202113842D0 (en) 2021-11-10
WO2020183317A1 (en) 2020-09-17

Similar Documents

Publication Publication Date Title
JP7373578B2 (ja) セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム
JP7379517B2 (ja) セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム
JP7379516B2 (ja) セキュア・インターフェース制御ストレージのためのホスト仮想アドレス空間使用方法、システム、プログラム
JP7379512B2 (ja) セキュア・ドメインと非セキュア・エンティティとの間のストレージ共用
US11635991B2 (en) Secure storage query and donation
US11182192B2 (en) Controlling access to secure storage of a virtual machine
JP7350868B2 (ja) 複数のセキュリティ・ドメインにわたるセキュア・メモリの共用
JP7410161B2 (ja) ページ変更検出によるセキュアなページング
JP7393846B2 (ja) セキュア・インターフェイス制御の高レベルのページ管理
JP7398472B2 (ja) 割り込みイネーブルのためのセキュア・インターフェース制御ハイレベル命令インターセプト
AU2020238889B2 (en) Secure storage isolation
JP2022522679A (ja) セキュア・インターフェース・コントロールの通信インターフェース

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220803

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231010

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231023

R150 Certificate of patent or registration of utility model

Ref document number: 7373578

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150