JP7379517B2 - セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム - Google Patents

セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム Download PDF

Info

Publication number
JP7379517B2
JP7379517B2 JP2021551745A JP2021551745A JP7379517B2 JP 7379517 B2 JP7379517 B2 JP 7379517B2 JP 2021551745 A JP2021551745 A JP 2021551745A JP 2021551745 A JP2021551745 A JP 2021551745A JP 7379517 B2 JP7379517 B2 JP 7379517B2
Authority
JP
Japan
Prior art keywords
secure
storage
interface control
guest
secure interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021551745A
Other languages
English (en)
Other versions
JP2022522766A (ja
JPWO2020182644A5 (ja
Inventor
ヘラー、リサ
ブサバ、ファディ
ブラッドベリー、ジョナサン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2022522766A publication Critical patent/JP2022522766A/ja
Publication of JPWO2020182644A5 publication Critical patent/JPWO2020182644A5/ja
Application granted granted Critical
Publication of JP7379517B2 publication Critical patent/JP7379517B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • G06F12/1475Key-lock mechanism in a virtual system, e.g. with translation means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/1009Address translation using page tables, e.g. page table structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/1027Address translation using associative or pseudo-associative address translation means, e.g. translation look-aside buffer [TLB]
    • G06F12/1036Address translation using associative or pseudo-associative address translation means, e.g. translation look-aside buffer [TLB] for multiple virtual address spaces, e.g. segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/109Address translation for multiple virtual address spaces, e.g. segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)
  • Stored Programmes (AREA)

Description

本発明は、一般に、コンピュータ技術に関し、より詳細には、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けに関する。
クラウド・コンピューティングおよびクラウド・ストレージは、サード・パーティのデータ・センターにデータを格納してデータをそこで処理する機能をユーザに提供する。クラウド・コンピューティングは、顧客がハードウェアを購入することも、物理サーバ用のフロアスペースを設けることも必要とせずに、顧客向けに仮想マシン(VM:virtual machine)を迅速かつ簡単にプロビジョニングする能力を容易化する。顧客は、顧客の好みまたは要件の変化に応じて、VMを簡単に拡張または縮小することができる。通常、クラウド・コンピューティング・プロバイダがVMをプロビジョニングし、VMは、プロバイダのデータ・センターにあるサーバ上に物理的に常駐している。特にコンピューティング・プロバイダが2人以上の顧客のデータを同じサーバ上に格納することが多いので、顧客は、しばしばVM内のデータのセキュリティについて懸念する。顧客は、自分のコード/データとクラウド・コンピューティング・プロバイダのコード/データとの間のセキュリティ、および自分のコード/データとプロバイダのサイトで実行されている他のVMのコード/データとの間のセキュリティを望む場合がある。さらに、顧客は、プロバイダの管理者からのセキュリティ、およびマシン上で実行されている他のコードからの潜在的なセキュリティ違反に対するセキュリティを望む場合がある。
このような機密な状況に対処するために、クラウド・サービス・プロバイダは、適切なデータ分離および論理ストレージの区分化を保証するためのセキュリティ制御を実装する場合がある。クラウド・インフラストラクチャを実装する際に仮想化を広範に使用すると、仮想化によって、オペレーティング・システム(OS)と、コンピューティング・ハードウェア、ストレージ・ハードウェア、またはさらにはネットワーク・ハードウェアという基盤となるハードウェアとの間の関係が変化するので、クラウド・サービスの顧客に固有のセキュリティ上の懸念が生じる。これにより、仮想化は、層自体を適切に構成、管理、および保護する必要がある追加の層として導入される。
一般に、ホスト・ハイパーバイザの制御下でゲストとして実行されるVMは、そのハイパーバイザに依存して、そのゲストに仮想化サービスを透過的に提供する。これらのサービスには、メモリ管理、命令エミュレーション、および割り込み処理が含まれる。
メモリ管理の場合、VMはそのデータをディスクから移動(ページ・イン)させてメモリに常駐させることができ、VMはそのデータをディスクに戻す(ページ・アウト)こともできる。ページがメモリに常駐している間、VM(ゲスト)は、動的アドレス変換(DAT:dynamic address translation)を使用して、メモリ内のページをゲスト仮想アドレスからゲスト絶対アドレスにマッピングする。さらに、ホスト・ハイパーバイザは、メモリ内のゲスト・ページの独自の(ホスト仮想アドレスからホスト絶対アドレスへの)DATマッピングを有し、単独で、またゲストにとって透過的に、ゲスト・ページをメモリにページ・インおよびメモリからページ・アウトすることができる。ハイパーバイザが2つの別々のゲストVM間でゲスト・メモリのメモリ分離または共有を実現する場合、ホストDATテーブルを介して実現される。ホストは、ゲスト・メモリにアクセスし、必要に応じてゲストに代わってゲスト動作をシミュレートすることも可能である。
1つまたは複数の実施形態によれば、方法が提供される。方法は、信頼できないエンティティと通信するセキュア・インターフェース制御によって、提供されたストレージをセキュアとして設定するための初期化命令を実施することであって、初期化命令の実施が、信頼できないエンティティから発行された命令呼出しに応答する、初期化命令を実施することを含む。方法の技術的な効果および利点には、セキュア・インターフェース制御内のセキュリティ強化を可能にするこのタグ付け技法が含まれる。定義上、セキュア・インターフェース制御はすべてのストレージにアクセスするが、設計上、ハードウェアがこれらのアクセスに対してセキュリティ・チェックを実施できるように、セキュア・インターフェース制御は、このストレージの各部分(セキュア・インターフェース制御およびセキュア・ゲスト・ストレージの個別の部分)に綿密にアクセスする。
1つまたは複数の実施形態または上記の方法の実施形態によれば、初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージの一部分をゾーン固有ストレージとして割り当てることと、ゾーン固有ストレージに一意のセキュア・ドメインをタグ付けすることとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態によれば、初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージの一部分をセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、セキュア・ゲスト・ドメイン固有ストレージにセキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾された(qualified)ものとしてタグ付けすることとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージが非セキュアであると検証することと、提供されたストレージをセキュア・ストレージとして設定することとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージの一部分を絶対ストレージとして定義するように割り当てることと、提供されたストレージのこの部分に、関連する仮想アドレスがないものとしてタグ付けすることとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージの一部分を仮想ストレージとして定義するように割り当てることと、提供されたストレージのこの部分に、関連する仮想アドレスをタグ付けすることとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、方法は、セキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークし、セキュア・インターフェース制御に、提供されたストレージにセキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることを行わせる、セキュア・インターフェース制御初期化命令を実施することであって、前記実施が、信頼できないエンティティから発行された第2の命令呼出しに応答する、セキュア・インターフェース制御初期化命令を実施することをさらに含むことができる。セキュア・ページをマークすることの技術的な効果および利点には、任意の非セキュア・エンティティによるアクセスを防止することが含まれる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、方法は、セキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークし、セキュア・インターフェース制御に、提供されたストレージにセキュア・インターフェース制御に属するものとしてタグ付けすることを行わせる、構成作成命令を実施することであって、構成作成命令の実施が、信頼できないエンティティから発行された第2の命令呼出しに応答する、構成作成命令を実施することをさらに含むことができる。セキュア・ページをマークすることの技術的な効果および利点には、任意の非セキュア・エンティティによるアクセスを防止することが含まれる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、方法は、セキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークし、セキュア・インターフェース制御に、提供されたストレージにセキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることを行わせる、中央処理装置(CPU)作成命令を実施することであって、前記実施が、信頼できないエンティティから発行された第2の命令呼出しに応答する、CPU作成命令を実施することをさらに含むことができる。セキュア・ページをマークすることの技術的な効果および利点には、任意の非セキュア・エンティティによるアクセスを防止することが含まれる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、提供されたストレージは、信頼できないエンティティによって提供されたすべてのセキュア・インターフェース制御ストレージを含むことができる。
1つまたは複数の実施形態によれば、上記の方法の実施形態のいずれも、コンピュータ・プログラム製品またはシステムとして実施され得る。
1つまたは複数の実施形態によれば、方法は、信頼できないエンティティと通信するセキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークする、セキュア・インターフェース制御初期化命令を実施することであって、セキュア・インターフェース制御初期化命令の実施が、信頼できないエンティティから発行された第1の命令呼出しに応答する、セキュア・インターフェース制御初期化命令を実施することを含む。方法はまた、セキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークする、セキュア構成作成命令を実施することであって、セキュア構成作成命令の実施が、信頼できないエンティティから発行された第2の命令呼出しに応答する、セキュア構成作成命令を実施することと、セキュア・インターフェース制御によって、提供されたストレージをセキュア・インターフェース制御に登録し、提供されたストレージをセキュアとしてマークする、セキュア中央処理装置(CPU)作成命令を実施することであって、セキュアCPU作成命令の実施が、信頼できないエンティティから発行された第3の命令呼出しに応答する、セキュアCPU作成命令を実施することとを含む。方法の技術的な効果および利点には、セキュア・インターフェース制御内のセキュリティ強化を可能にするこのタグ付け技法が含まれる。定義上、セキュア・インターフェース制御はすべてのストレージにアクセスするが、設計上、これらのアクセスに対してセキュリティ・チェックを実施できるように、セキュア・インターフェース制御は、このストレージの各部分(セキュア・インターフェース制御およびセキュア・ゲスト・ストレージの個別の部分)に綿密にアクセスする。
1つまたは複数の実施形態または上記の方法の実施形態によれば、セキュア・インターフェース制御初期化命令の実施は、セキュア・インターフェース制御に、提供されたストレージをゾーン固有ストレージとして割り当てることと、ゾーン固有ストレージに一意のセキュア・ドメインをタグ付けすることとを行わせることができ、セキュア構成作成命令の実施は、セキュア・インターフェース制御に、提供された基本セキュア構成ストレージおよび可変セキュア構成ストレージをセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、セキュア・ゲスト・ドメイン固有ストレージにセキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることとを行わせることができ、または、セキュアCPU作成命令の実施は、セキュア・インターフェース制御に、提供された基本セキュアCPUストレージをセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、セキュア・ゲスト・ドメイン固有ストレージにセキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、提供されたゾーン固有ストレージ、基本セキュア構成ストレージ、または基本CPUストレージは、絶対ストレージとして定義され、関連する仮想アドレスがないものとしてタグ付けされることが可能であり、提供された可変セキュア構成ストレージは、仮想ストレージとして定義され、関連する仮想アドレスでタグ付けされることが可能である。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、セキュア・インターフェース制御初期化命令、セキュア構成作成命令、またはセキュアCPU作成命令の実施は、セキュア・インターフェース制御に、提供されたストレージが非セキュアであると検証することと、提供されたストレージをセキュアとして設定することとを行わせることができる。
1つまたは複数の実施形態または上記の方法の実施形態のいずれかによれば、提供されたストレージは、信頼できないエンティティによって提供されたすべてのセキュア・インターフェース制御ストレージを含むことができる。
1つまたは複数の実施形態によれば、上記の方法の実施形態のいずれも、コンピュータ・プログラム製品またはシステムとして実施され得る。
本開示の技術を通じて、追加の特徴および利点が実現される。本発明の他の実施形態および態様は、本明細書に詳細に記載されており、本発明の一部と見なされる。利点および特徴を備えた本発明をより良く理解するために、説明および図面を参照されたい。
本明細書の添付の特許請求の範囲において、本明細書に記載の排他的権利の詳細を具体的に取り上げ、明確に特許請求している。添付図面と併せて行う以下の詳細な説明から、本発明の実施形態の前述および他の特徴ならびに利点が明らかになる。
本発明の1つまたは複数の実施形態による、ゾーン・セキュリティに関するテーブルである。 本発明の1つまたは複数の実施形態による、DATを実行するための仮想アドレス空間および絶対アドレス空間を示す図である。 本発明の1つまたは複数の実施形態による、ハイパーバイザの下で実行している仮想マシン(VM)をサポートするためのネストされたマルチ・パートDATを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・ゲスト・ストレージのマッピングを示す図である。 本発明の1つまたは複数の実施形態による、動的アドレス変換(DAT)動作のシステム概略図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御メモリのシステム概略図である。 本発明の1つまたは複数の実施形態による、インポート動作のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、インポート動作のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、提供されたメモリ動作のプロセスを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御の非セキュア・ハイパーバイザ・ページからセキュア・ページへの移行のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御によって行われるセキュア・ストレージ・アクセスのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御およびハードウェアによるアクセス・タグ付けのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、プログラムおよびセキュア・インターフェース制御によってセキュア・アクセスおよび非セキュア・アクセスをサポートするための変換のプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、プログラムおよびセキュア・インターフェース制御によるセキュア・ストレージ保護を備えたDATのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けのためのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、図15のプロセス・フローの続きである、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けのためのプロセス・フローを示す図である。 本発明の1つまたは複数の実施形態による、クラウド・コンピューティング環境を示す図である。 本発明の1つまたは複数の実施形態による、抽象化モデル層を示す図である。 本発明の1つまたは複数の実施形態による、システムを示す図である。 本発明の1つまたは複数の実施形態による、ノードを示す図である。
本明細書に示されている図は例示的なものである。本発明の思想から逸脱することなく、図またはそこに記載されている動作に対する多くの変形形態が存在し得る。例えば、アクションを異なる順序で実行することができ、またはアクションを追加、削除、もしくは変更することができる。また、「結合された」という用語、およびその変形は、2つの要素間に通信経路を有することを表しており、要素間に介在する要素/接続がない、要素間の直接接続を意味するものではない。これらの変形形態はすべて、本明細書の一部と見なされる。
本発明の1つまたは複数の実施形態は、セキュア・インターフェース制御メモリとして、セキュアとしてマークし、セキュア・インターフェース制御以外の任意のエンティティからそのメモリにアクセスできないようにそのセキュア・インターフェース制御メモリにタグ付けする、タグ付けメカニズムを提供する。セキュア・エンティティ間の分離用にハードウェア内に設けられているストレージ・セキュリティ・メカニズムと同じストレージ・セキュリティ・メカニズムを、セキュア・インターフェース制御ストレージの分離にも使用する。
信頼できないエンティティ(例えば、ホスト・ハイパーバイザ)の制御下でゲストとして実行する仮想マシン(VM)は、そのハイパーバイザに依存して、そのゲストに仮想化サービスを透過的に提供する。これらのサービスは、セキュア・エンティティと、他のエンティティによるセキュア・リソースへのアクセスを従来から許可している別の信頼できないエンティティとの間の任意のインターフェースに適用することができる。前述のように、これらのサービスには、メモリ管理、命令エミュレーション、および割り込み処理が含まれるが、これらに限定されない。例えば、割り込みおよび例外の挿入の場合、ハイパーバイザは典型的には、ゲストのプレフィックス領域(低コア)に対して読み取りまたは書き込みあるいはその両方を行う。本明細書で使用する「仮想マシン」または「VM」という用語は、物理マシン(コンピューティング・デバイス、プロセッサなど)およびその処理環境(オペレーティング・システム(OS)、ソフトウェア・リソースなど)の論理表現を指す。VMは、基盤となるホスト・マシン(物理プロセッサまたはプロセッサのセット)上で実行するソフトウェアとして維持される。ユーザまたはソフトウェア・リソースの観点からは、VMは独自の独立した物理マシンのように見える。本明細書で使用する「ハイパーバイザ」および「VMモニタ(VMM)」という用語は、同じホスト・マシン上で複数の(場合によっては異なる)OSを使用して複数のVMを実行するように管理および許可する処理環境またはプラットフォーム・サービスを指す。VMの展開は、VMのインストール・プロセスおよびVMのアクティブ化(または開始)プロセスを含むことを理解されたい。別の例では、(例えば、VMが以前にインストールされているか、すでに存在する場合)VMの展開は、VMのアクティブ化(または開始)プロセスを含む。
セキュア・ゲスト(例えば、セキュア・エンティティ)を円滑化およびサポートするためには、ハイパーバイザがVMからのデータにアクセスできず、したがって本明細書に記載の方法でサービスを提供できないように、ハイパーバイザとセキュア・ゲストとの間にハイパーバイザに依存することのない追加のセキュリティが必要となるという技術上の問題が存在する。
本明細書に記載のセキュアな実行は、セキュア・ストレージと非セキュア・ストレージとの間、および異なるセキュア・ユーザに属するセキュア・ストレージ間の分離を保証するためのハードウェア・メカニズムを提供する。セキュア・ゲストに対しては「信頼できない」非セキュア・ハイパーバイザとセキュア・ゲストとの間に追加のセキュリティが提供される。これを実施するには、ハイパーバイザがゲストに代わって通常実行する機能の多くをマシンに組み込む必要がある。本明細書において、ハイパーバイザとセキュア・ゲストとの間にセキュアなインターフェースを提供するための、本明細書では「UV」とも呼ぶ新しいセキュア・インターフェース制御について説明する。セキュア・インターフェース制御およびUVという用語は本明細書では同義に使用される。セキュア・インターフェース制御は、ハードウェアと連携して作用し、この追加のセキュリティを提供する。
この保護メカニズムは、仮想マシンのディスパッチを移行の主要点として使用して、仮想マシン(すなわち、ハイパーバイザとセキュア・ゲストとの間)に提供することができ、または、別の境界、例えばアドレス空間の変更を変換の主要点として使用して、仮想実行ファイルに提供することができる。ここでは仮想マシン・インターフェースについて説明するが、同様のハードウェア保護メカニズムを使用して、セキュア実行ファイルに対して同様のセキュア・インターフェース制御インターフェースを提供することができる。
一例において、セキュア・インターフェース制御は、セキュアで信頼できる内部のハードウェアまたはファームウェアあるいはその両方に実装される。セキュア・ゲストまたはセキュア・エンティティの場合、セキュア・インターフェース制御は、セキュア環境の初期化および保守、ならびにハードウェア上のこれらのセキュア・エンティティのディスパッチの調整を提供する。セキュア・ゲストがデータを能動的に使用しており、データがホスト・ストレージに常駐している間、データは、セキュア・ストレージ内で「クリア状態」に保たれる。セキュア・ゲスト・ストレージには、その単一のセキュア・ゲストからアクセスすることができ、これは、ハードウェアによって厳密に強制される。すなわち、ハードウェアは、任意の非セキュア・エンティティ(ハイパーバイザ、もしくは他の非セキュア・ゲストを含む)または異なるセキュア・ゲストがそのデータにアクセスするのを防止する。この例では、セキュア・インターフェース制御は、最下位レベルのファームウェアの信頼できる部分として実行する。最下位レベル、すなわちミリコードは、実際にはハードウェアの拡張であり、例えばIBMが提供しているzAarchitecture(R)で定義されている複雑な命令および機能を実装するために使用される。ミリコードは、セキュアな実行のコンテキストで独自のセキュアUVストレージ、非セキュア・ハイパーバイザ・ストレージ、セキュア・ゲスト・ストレージ、および共有ストレージを含むストレージのすべての部分にアクセスする。これにより、セキュア・ゲストまたはそのゲストをサポートするハイパーバイザが必要とする任意の機能を提供することができる。セキュア・インターフェース制御はまた、ハードウェアに直接アクセスするので、ハードウェアは、セキュア・インターフェース制御によって確立された条件の制御下でセキュリティ・チェックを効率的に提供することができる。
本発明の1つまたは複数の実施形態によれば、セキュア・ページにマークするために、ハードウェア内にセキュア・ストレージ・ビットが提供される。このビットが設定されている場合、ハードウェアは、任意の非セキュア・ゲストまたはハイパーバイザがこのページにアクセスするのを防止する。さらに、各セキュア・ページまたは共有ページは、ゾーン・セキュリティ・テーブルに登録され、セキュア・ゲスト・ドメイン識別情報(ID)でタグ付けされる。ページがセキュリティで非セキュアである場合、ページは、ゾーン・セキュリティ・テーブルにおいて非セキュアとしてマークされる。このゾーン・セキュリティ・テーブルは、区分またはゾーンごとのセキュア・インターフェース制御によって維持される。ホスト絶対ページごとに1つのエントリがあり、セキュア・エンティティによって行われる任意のDAT変換時に、ハードウェアがエントリを使用して、ページを所有するセキュア・ゲストまたはエンティティによってのみページがアクセスされることを検証する。非セキュア・エンティティによるアクセスを防止するために、セキュア・インターフェース制御ストレージも、セキュア・ページとしてマークされる。さらに、セキュア・インターフェース制御ストレージは、任意の他のセキュア・エンティティがそのストレージにアクセスするのを防止するために使用される1つまたは複数の独自のセキュア・ドメインIDを有する。UVストレージが特定のセキュア・ゲスト・ドメインに関連付けられている場合、UVストレージにそのセキュア・ゲスト・ドメインIDでタグ付けして、セキュア・インターフェース制御ストレージ内でさらなる分離を実現することもできる。このタグ付け技法により、セキュア・インターフェース制御内のセキュリティ強化が可能になる。定義上、セキュア・インターフェース制御はすべてのストレージにアクセスするが、設計上、ハードウェアがこれらのアクセスに対してセキュリティ・チェックを実施できるように、セキュア・インターフェース制御は、このストレージの各部分(セキュア・インターフェース制御およびセキュア・ゲスト・ストレージの個別の部分)に綿密にアクセスする。
本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御は、セキュア・インターフェース制御自体によってのみアクセスされ得る独自のセキュアUVストレージを有する。このストレージは、セキュア・ゲストに必要なセキュリティを提供するために、セキュア・インターフェース制御およびハードウェアによって使用される。セキュア・インターフェース制御は、このセキュア・ストレージを使用して、セキュア・インターフェース制御自体、セキュア・ゲストを実行することが可能なゾーン、セキュア・ゲスト、およびセキュア仮想CPUに関する情報を記憶する。セキュア・ゲスト・ストレージと同様に、セキュア・インターフェース制御ストレージも、非セキュア・エンティティによるアクセスを防止するためにセキュア・ページとしてマークされる。さらに、セキュア・インターフェース制御ストレージは、任意の他のセキュア・エンティティがセキュア・インターフェース制御ストレージにアクセスするのを防止するために使用される独自のセキュア・ドメインIDを有する。
本発明の1つまたは複数の実施形態によれば、ソフトウェアは、UV呼出し(UVC:UV Call)命令を使用して、セキュア・インターフェース制御に特定のアクションを実行するように要求する。例えば、UVC命令は、ハイパーバイザがセキュア・インターフェース制御を初期化し、セキュア・ゲスト・ドメイン(例えば、セキュア・ゲスト構成)を作成し、そのセキュア構成内に仮想CPUを作成するために使用され得る。UVC命令はまた、セキュア・ゲスト・ページをハイパーバイザのページ・インまたはページ・アウト動作の一部としてインポートし(復号し、セキュア・ゲスト・ドメインに割り当て)、エクスポートする(暗号化し、ホスト・アクセスを許可する)ためにも使用され得る。さらに、セキュア・ゲストは、ハイパーバイザと共有するストレージを定義し、セキュア・ストレージを共有させ、共有ストレージをセキュアにするための能力を有する。
これらのUVCコマンドは、他の多くの設計された命令と同様に、マシン・ファームウェアによって実行され得る。マシンはセキュア・インターフェース制御モードに入らないが、代わりにマシンは、現在実行しているモードでセキュア・インターフェース制御機能を実行する。ハードウェアは、ファームウェアとソフトウェアの両方の状態を維持するので、これらの動作を処理するためのコンテキストの切り替えはない。この低いオーバーヘッドにより、必要なレベルのセキュリティを提供しながらセキュア・インターフェース制御の複雑さを最小限に抑えて軽減する方法で、ソフトウェア、信頼できるファームウェア、およびハードウェアの様々な層間の緊密な連携が可能になる。
本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御およびハードウェアがセキュア・ゲストを適切に維持してハイパーバイザ環境をサポートするために必要とされる制御ブロック構造をサポートするために、ハイパーバイザは、セキュア・ゲスト環境を初期化しながら、セキュア・インターフェース制御にストレージを提供する。その結果、1)セキュア・ゲストを実行するためのゾーンを初期化する、2)セキュア・ゲスト・ドメインを作成する、および3)ドメインの各々で実行されるセキュアCPUを作成するための準備として、ハイパーバイザは、とりわけ、提供に必要なストレージの容量を決定するためのクエリUVC命令を発行する。ストレージが提供されると、ストレージはセキュアとしてマークされ、セキュア・インターフェース制御に属するものとして登録され、非セキュアまたはセキュアなゲスト・エンティティによるアクセスは禁止される。これは、関連するエンティティ(例えば、セキュア・ゲストCPU、セキュア・ゲスト・ドメインまたはゾーン)が破棄されるまでこの状況が継続する。
一例において、ゾーン固有UV制御ブロックをサポートするためのUVストレージの第1のセクションは、セキュア・インターフェース制御に初期化UVCの一部として提供され、本明細書でUV2ストレージと呼ぶ場所に常駐する。(セキュア・ゲスト・ドメインごとに)基本および可変のセキュア・ゲスト構成制御ブロックをサポートするための、UVストレージの第2のセクションおよび第3のセクションは、セキュア・ゲスト構成作成UVC(create-secure-guest-configuration UVC)の一部として提供され、UVSストレージおよびUVVストレージにそれぞれ常駐する。セキュアCPU制御ブロックをサポートするためのUVストレージの第4の最後のセクションも、UVS空間に常駐し、セキュア・ゲストCPU作成UVC(create-secure-guest-CPU UVC)の一部として提供される。これらのエリアの各々がそれぞれ提供されると、セキュア制御インターフェースは、(各エリアがすべての非セキュア・エンティティによってアクセスされないように)これらのエリアをセキュアとしてマークし、また(これらのエリアがすべてのセキュア・ゲスト・エンティティによってアクセスされないように)これらのエリアをゾーン・セキュリティ・テーブルにセキュア制御インターフェースに属するものとして登録する。UV空間内でさらなる分離を実現するために、(どの特定のセキュア・ゲスト・ドメインに関連付けられていない)UV2空間も、一意のUV2セキュア・ドメイン(例えば、一意のセキュア・ドメイン)でタグ付けされ、UVS空間とUVV空間はどちらも、関連する特定のセキュア・ゲスト・ドメインでさらにタグ付けされる。この例では、UVV空間はホスト仮想空間に常駐し、したがって、ホスト仮想からホスト絶対へのマッピングによってさらに識別され得る。
セキュア・インターフェース制御はすべてのストレージ(非セキュア・ストレージ、セキュア・ゲスト・ストレージ、およびUVストレージ)にアクセスできるが、本発明の1つまたは複数の実施形態は、セキュア・インターフェース制御が非常に具体的にUVストレージにアクセスすることを可能にするメカニズムを提供する。本発明の実施形態は、セキュア・ゲスト・ドメイン間の分離を提供する同じハードウェア・メカニズムを使用して、UVストレージ内で同様の分離を提供することができる。これにより、セキュア制御インターフェースが、意図され指定された場合にのみUVストレージにアクセスすること、所望の指定されたセキュア・ゲストのセキュア・ゲスト・ストレージにのみアクセスすること、および指定された場合にのみ非セキュア・ストレージにアクセスすることが保証される。すなわち、セキュア制御インターフェースは、セキュア制御インターフェースがアクセスしようとするストレージにハードウェアが実際にアクセスすることを保証できるように、そのストレージを極めて明示的に指定してもよい。また、セキュア制御インターフェースはさらに、セキュア制御インターフェースが、指定されたセキュア・ゲスト・ドメインに関連付けられたUVストレージにのみアクセスしようとするように指定することができる。
セキュリティを提供するために、ハイパーバイザがセキュア・ゲスト・データを透過的にページ・インおよびページ・アウトするとき、ハードウェアと連携するセキュア・インターフェース制御は、データの復号および暗号化を提供し、保証する。これを実現するためには、ハイパーバイザは、ゲスト・セキュア・データをページ・インおよびページ・アウトするときに新しいUVCを発行する必要がある。ハードウェアは、これらの新しいUVC中にセキュア・インターフェース制御によってセットアップされた制御に基づいて、これらのUVCが実際にハイパーバイザによって発行されることを保証する。
この新しいセキュア環境では、ハイパーバイザは、セキュア・ページをページ・アウトしている場合は常に、セキュア・ストレージからの新しい変換(エクスポート)UVCを発行する必要がある。セキュア・インターフェース制御は、このエクスポートUVCに応答して、1)ページがUVによって「ロック」されていることを示し、2)ページを暗号化し、3)ページを非セキュアに設定し、4)UVロックをリセットする。エクスポートUVCが完了すると、ここでハイパーバイザは、暗号化されたゲスト・ページをページ・アウトできるようになる。
さらに、ハイパーバイザは、セキュア・ページをページ・インしている場合は常に、セキュア・ストレージへの新しい変換(インポート)UVCを発行しなければならない。UVまたはセキュア・インターフェース制御は、このインポートUVCに応答して、1)ハードウェアにおいてページをセキュアとしてマークし、2)ページがUVによって「ロック」されていることを示し、3)ページを復号し、4)特定のセキュア・ゲスト・ドメインに権限を設定し、5)UVロックをリセットする。セキュア・エンティティによってアクセスが行われる場合は常に、ハードウェアは、変換中にそのページに対して権限チェックを実行する。これらのチェックには、1)アクセスしようとしているセキュア・ゲスト・ドメインにページが実際に属していることを検証するためのチェック、および2)このページがゲスト・メモリに常駐している間、ハイパーバイザがこのページのホスト・マッピングを変更していないことを確認するためのチェックが含まれる。ページがセキュアとしてマークされると、ハードウェアは、ハイパーバイザまたは非セキュア・ゲストVMのいずれかによるすべてのセキュア・ページへのアクセスを防止する。追加の変換ステップは、別のセキュアVMによるアクセスを防止し、ハイパーバイザによる再マッピングを防止する。
本発明の1つまたは複数の実施形態は、(予期された通りではなく)エラーを伴って実行しているハイパーバイザを考慮しない既存のシステムに対する技術的改善を提供し、それにより、セキュアであると想定されるページに非セキュア・エンティティがアクセスすることを可能にする。
すなわち、本発明の1つまたは複数の実施形態は、ストレージ・セキュリティ・メカニズム以外の任意のエンティティによるアクセスを禁止するために、タグ付けメカニズムによって、ストレージを、セキュア・インターフェース制御メモリおよびセキュアとしてマークし、セキュア・ゲスト間の分離用にハードウェア内に設けられているストレージ・セキュリティ・メカニズムによって、セキュア・インターフェース制御メモリを分離することによって、このような既存のシステムに対処する。この点に関連して、ストレージ・セキュリティ・メカニズムは、セキュア・インターフェース制御メモリを含むセキュア・インターフェース制御であり、セキュア・インターフェース制御メモリは、セキュア・インターフェース制御自体によってのみアクセス可能であり、セキュア・ゲストにセキュリティを提供するために、セキュア・インターフェース制御およびハードウェアによって使用される。さらに、セキュア・インターフェース制御メモリは、セキュア・ページとしてマークされたセキュア・インターフェース制御ストレージであり、任意の非セキュア・エンティティによるアクセスを防止するという技術的な効果および利点を提供する。さらに、セキュア・インターフェース制御ストレージは、任意の他のセキュア・エンティティまたは非セキュア・エンティティがそのストレージにアクセスするのを防止するために使用される1つまたは複数の独自のセキュア・ドメインIDを有する。UVストレージが特定のセキュア・ゲスト・ドメインに関連付けられている場合、UVストレージにそのセキュア・ゲスト・ドメインIDでタグ付けして、セキュア・インターフェース制御ストレージ内でさらなる分離を実現することもできる。このタグ付け技法により、セキュア・インターフェース制御内のセキュリティ強化が可能になる。定義上、セキュア・インターフェース制御はすべてのストレージにアクセスするが、設計上、ハードウェアがこれらのアクセスに対してセキュリティ・チェックを実施できるように、セキュア・インターフェース制御は、このストレージの各部分(セキュア・インターフェース制御およびセキュア・ゲスト・ストレージの個別の部分)に綿密にアクセスする。
次に図1を参照すると、本発明の1つまたは複数の実施形態によるゾーン・セキュリティのテーブル100が概略的に示されている。図1に示すゾーン・セキュリティ・テーブル100は、セキュア・エンティティによってアクセスされる任意のページへのセキュア・アクセスを保証するために、セキュア・インターフェース制御によって維持され、セキュア・インターフェース制御およびハードウェアによって使用される。ゾーン・セキュリティ・テーブル100は、ホスト絶対アドレス110によってインデックス付けされる。すなわち、ホスト絶対ストレージのページごとに1つのエントリがある。各エントリは、エントリが、アクセスを行うセキュア・エンティティに属していることを検証するために使用される情報を含む。
さらに、図1に示すように、ゾーン・セキュリティ・テーブル100は、セキュア・ドメインID120(このページに関連付けられたセキュア・ドメインを識別する)と、UVビット130(このページがセキュア・インターフェース制御に提供され、セキュア・インターフェース制御によって所有されていることを示す)と、アドレス比較無効化(DA)ビット140(ホスト絶対と定義されているセキュア・インターフェース制御ページが、関連するホスト仮想アドレスを有していない場合などに、特定の状況でホスト・アドレス・ペアの比較を無効にするために使用される)と、共有(SH)ビット150(ページが非セキュア・ハイパーバイザと共有されていることを示す)と、ホスト仮想アドレス160(このホスト絶対アドレスに対して登録されているホスト仮想アドレスを示し、これをホスト・アドレス・ペアと呼ぶ)とを含む。なお、ホスト・アドレス・ペアは、ホスト絶対アドレスと、関連する登録済みのホスト仮想アドレスとを示す。ホスト・アドレス・ペアは、ハイパーバイザによってインポートされた時点でのこのページのマッピングを表し、この比較は、ページがゲストによって使用されている間にホストがそのページを再マッピングしないことを保証する。
動的アドレス変換(DAT)は、仮想ストレージを実ストレージにマッピングするために使用される。ゲストVMがハイパーバイザの制御下でページング可能なゲストとして実行されているとき、ゲストは、DATを使用してそのメモリに常駐するページを管理する。さらに、ホストは、ページがメモリに常駐しているとき、単独でDATを使用してそれらのゲスト・ページを(ホスト自体のページと共に)管理する。ハイパーバイザは、DATを使用して、異なるVM間でのストレージの分離または共有あるいはその両方を実現し、ハイパーバイザ・ストレージへのゲスト・アクセスを防止する。ゲストが非セキュア・モードで実行しているとき、ハイパーバイザは、ゲストのストレージのすべてにアクセスする。
DATにより、アプリケーションを別のアプリケーションから分離しながら、依然としてそれらのアプリケーションに共通リソースを共有させることが可能になる。また、DATによりVMの実装も可能であり、VMは、アプリケーション・プログラムの同時処理、ならびに新しいバージョンのOSの設計およびテストに使用されてもよい。仮想アドレスは、仮想ストレージ内の位置を識別する。アドレス空間は、仮想アドレスの連続シーケンスであり、特定の変換パラメータ(DATテーブルを含む)を用いて、各仮想アドレスを、その各仮想アドレスをストレージ内のバイト位置で識別する関連する絶対アドレスに変換できるようにする。
DATは、マルチ・テーブル・ルックアップを使用して、仮想アドレスを関連する絶対アドレスに変換する。このテーブル構造は、通常、ストレージ・マネージャによって定義および維持される。このストレージ・マネージャは、例えばあるページをページ・アウトして別のページを取り込むことによって、絶対ストレージを複数のプログラム間で透過的に共有する。例えば、ページがページ・アウトされると、ストレージ・マネージャは、関連するページ・テーブルに無効ビットを設定する。ページ・アウトされたページにプログラムがアクセスしようとすると、ハードウェアは、しばしばページ・フォールトと呼ばれるプログラム割り込みをストレージ・マネージャに提示する。それに応答してストレージ・マネージャは、要求されたページをページ・インし、無効ビットをリセットする。これはすべて、プログラムに対して透過的に行われ、ストレージ・マネージャがストレージを仮想化して様々な異なるユーザ間で共有できるようにする。
CPUが仮想アドレスを使用してメイン・ストレージにアクセスする場合、仮想アドレスは最初に、DATによって実アドレスに変換され、次いでプレフィックス変換(prefixing)によって絶対アドレスに変換される。特定のアドレス空間に対する最上位レベルのテーブルの指定(起点および長さ)は、アドレス空間制御要素(ASCE:address-space-control element)と呼ばれ、関連するアドレス空間を定義する。
次に図2を参照すると、本発明の1つまたは複数の実施形態による、DATを実行するための例示的な仮想アドレス空間202および204、ならびに絶対アドレス空間206が概略的に示されている。図2に示す例では、仮想アドレス空間202(アドレス空間制御要素(ASCE)A208によって定義される)と、仮想アドレス空間204(ASCE B210によって定義される)との2つの仮想アドレス空間が存在する。マルチ・テーブル(セグメント230およびページ・テーブル232a、232b)ルックアップにおいて、ストレージ・マネージャによってASCE A208を使用して、仮想ページA1.V212a1、A2.V212a2、およびA3.V212a3は、絶対ページA1.A220a1、A2.A220a2、およびA3.A220a3にマッピングされる。同様に、234および236の2つのテーブル・ルックアップにおいて、ASCE B210を使用して、仮想ページB1.V214b1およびB2.V214b2は、絶対ページB1.A222b1およびB2.A222b2にそれぞれマッピングされる。
次に図3を参照すると、本発明の1つまたは複数の実施形態による、ハイパーバイザの下で実行しているVMをサポートするために使用されるネストされたマルチ・パートDAT変換の例が概略的に示されている。図3に示す例では、ゲストA仮想アドレス空間A302(ゲストASCE(GASCE)A304によって定義される)とゲストB仮想アドレス空間B306(GASCEB308によって定義される)はどちらも共有ホスト(ハイパーバイザ)仮想アドレス空間325内に常駐する。図示のように、ゲストAストレージ・マネージャによってGASCEA304を使用して、ゲストAに属する仮想ページA1.GV310a1、A2.GV310a2、およびA3.GV310a3は、ゲスト絶対ページA1.HV340a1、A2.HV340a2、およびA3.HV340a3にそれぞれマッピングされ、ゲストBストレージ・マネージャによって単独でGASCEB308を使用して、ゲストBに属する仮想ページB1.GV320b1およびB2.GV320b2は、ゲスト絶対ページB1.HV360b1およびB2.HV360b2にそれぞれマッピングされる。この例では、これらのゲスト絶対ページは、共有ホスト仮想アドレス空間325に直接マッピングされ、その後、追加のホストDAT変換を経て、ホスト絶対アドレス空間330まで進む。図示のように、ホスト・ストレージ・マネージャによってホストASCE(HASCE)350を使用して、ホスト仮想アドレスA1.HV340a1、A3.HV340a3、およびB1.HV360b1は、A1.HA370a1、A3.HA370a3、およびB1.HA370b1にマッピングされる。ゲストAに属するホスト仮想アドレスA2.HV340a2とゲストBに属するホスト仮想アドレスB2.HV360b2はどちらも、同じホスト絶対ページAB2.HA380にマッピングされる。これにより、この2人のゲスト間でデータを共有することが可能になる。ゲストDAT変換中、ゲスト・テーブル・アドレスはそれぞれ、ゲスト絶対アドレスとして扱われ、追加のネストされたホストDAT変換の対象となる。
本明細書に記載の本発明の実施形態は、セキュア・ゲストおよびUVストレージ保護を提供する。非セキュア・ゲストおよびハイパーバイザによるセキュア・ストレージへのアクセスは禁止される。ハイパーバイザは、常駐している所与のセキュア・ゲスト・ページに対して、以下の動作が行われるようにする。関連するホスト絶対アドレスは、単一のハイパーバイザ(ホスト)DATマッピングを介してのみアクセス可能である。すなわち、セキュア・ゲストに割り当てられた任意の所与のホスト絶対アドレスにマッピングする単一のホスト仮想アドレスが存在する。所与のセキュア・ゲスト・ページに関連する(ホスト仮想からホスト絶対への)ハイパーバイザDATマッピングは、ページ・インされている間は変更されない。セキュア・ゲスト・ページに関連するホスト絶対ページは、単一のセキュア・ゲストにマッピングされる。
本発明の1つまたは複数の実施形態によれば、セキュア・ゲスト間でのストレージの共有も禁止される。ストレージは、単一のセキュア・ゲストとセキュア・ゲストの制御下にあるハイパーバイザとの間で共有される。UVストレージは、セキュア・ストレージであり、セキュア制御インターフェースからアクセスできるが、ゲスト/ホストからはアクセスできない。ストレージは、ハイパーバイザによってセキュア制御インターフェースに割り当てられる。本発明の1つまたは複数の実施形態によれば、これらの規則に対するすべての違反を試みることは、ハードウェアおよびセキュア制御インターフェースによって禁止されている。
次に図4を参照すると、本発明の1つまたは複数の実施形態によるセキュア・ゲスト・ストレージのマッピングの例が概略的に示されている。図4の例がセキュア・ゲストAとセキュア・ゲストBとの間のストレージの共有を可能にしないことを除いて、図4は図3と類似している。図3の非セキュアの例では、ゲストAに属するホスト仮想アドレスA2.HV340a2とゲストBに属するホスト仮想アドレスB2.HV360b2のどちらも、同じホスト絶対ページAB2.HA380にマッピングされる。図4のセキュア・ゲスト・ストレージの例では、ゲストAに属するホスト仮想アドレスA2.HV340a2は、ホスト絶対アドレスA2.HA490aにマッピングされ、一方、ゲストBに属するホスト仮想アドレスB2.HV360b2は、それ自体のB2.HA490bにマッピングされる。この例では、セキュア・ゲスト間での共有はない。
セキュア・ゲスト・ページは、ディスク上に常駐しているが、暗号化されている。ハイパーバイザがセキュア・ゲスト・ページにページ・インすると、ハイパーバイザはUV呼出し(UVC)を発行し、UV呼出し(UVC)は、セキュア制御インターフェースに、ページをセキュアとしてマークさせ(共有されていない場合)、ページを復号させ(共有されていない場合)、ページを適切なセキュア・ゲスト(例えば、ゲストA)に属するものとして(ゾーン・セキュリティ・テーブルに)登録させる。さらに、セキュア制御インターフェースは、関連するホスト仮想アドレス(例えば、A3.HV340a3)をそのホスト絶対ページ(ホスト・アドレス・ペアと呼ぶ)に登録する。ハイパーバイザが正しいUVCを発行できない場合、セキュア・ゲスト・ページにアクセスしようとすると、ハイパーバイザは例外を受信する。ハイパーバイザがゲスト・ページをページ・アウトすると、同様のUVCが発行され、ハイパーバイザは、ゲスト・ページを非セキュアとしてマークしてそのゲスト・ページをゾーン・セキュリティ・テーブルに非セキュアとして登録する前に、(共有されていない場合)ゲスト・ページを暗号化する。
5つの所与のホスト絶対ページK、P、L、M、およびNがある例では、ハイパーバイザがホスト絶対ページをページ・インするとき、ホスト絶対ページはそれぞれ、セキュア制御インターフェースによってセキュアとしてマークされる。これにより、非セキュア・ゲストおよびハイパーバイザがそのページにアクセスするのを防止する。ハイパーバイザがホスト絶対ページK、P、およびMをページ・インするとき、ホスト絶対ページK、P、およびMは、ゲストAに属するものとして登録され、ホスト絶対ページLおよびNは、ハイパーバイザによってページ・インされるとき、ゲストBに登録される。共有ページ、すなわち単一のセキュア・ゲストとハイパーバイザとの間で共有されるページは、ページング中に暗号化も復号もされない。共有ページは、(ハイパーバイザによるアクセスを許可する)セキュアとしてマークされないが、ゾーン・セキュリティ・テーブル内の単一のセキュア・ゲスト・ドメインに登録される。
本発明の1つまたは複数の実施形態によれば、非セキュア・ゲストまたはハイパーバイザがセキュア・ゲストによって所有されているページにアクセスしようとすると、ハイパーバイザは、セキュア・ストレージ・アクセス(PIC3D)例外を受信する。これを判定するために追加の変換ステップは必要ない。
1つまたは複数の実施形態によれば、セキュア・エンティティがページにアクセスしようとすると、ハードウェアは、ストレージが実際にその特定のセキュア・ゲストに属していることを検証する追加の変換チェックを実行する。属していない場合、ハイパーバイザに非セキュア・アクセス(PIC3E)例外が提示される。さらに、変換されるホスト仮想アドレスが、ゾーン・セキュリティ・テーブルに登録されているホスト・アドレス・ペアからのホスト仮想アドレスと一致しない場合、セキュア・ストレージ違反(「3F」x)例外が認識される。ハイパーバイザとの共有を可能にするために、セキュア・ゲストは、変換チェックでアクセスが許可されている限り、セキュアとしてマークされていないストレージにアクセスしてもよい。
次に図5を参照すると、本発明の1つまたは複数の実施形態による、DAT動作のシステム概略図500が概略的に示されている。システム概略図500は、ホスト1次仮想アドレス空間510およびホスト・ホーム仮想アドレス空間520を含み、ページはこれらの空間から、ハイパーバイザ(ホスト)絶対アドレス空間530に変換される(例えば、ホストDAT変換525を参照。なお、点線は、DAT変換525を介したマッピングを表す)。例えば、図5は、2つの異なるホスト仮想アドレス空間によるホスト絶対ストレージの共有、さらに2人のゲスト間だけでなくホスト自体との、これらのホスト仮想アドレスのうちの1つの共有も示す。これに関して、ホスト1次仮想アドレス空間510およびホスト・ホーム仮想アドレス空間520は、2つのホスト仮想アドレス空間の例であり、各ホスト仮想アドレス空間は、別個のASCE、ホスト1次ASCE(HPASCE)591、およびホスト・ホームASCE(HHASCE)592によってそれぞれアドレス指定される。なお、すべてのセキュア・インターフェース制御ストレージ(仮想ストレージと実ストレージの両方)は、ハイパーバイザによって提供され、セキュアとしてマークされる。セキュア・インターフェース制御ストレージが提供されると、関連するセキュア・エンティティが存在する限り、セキュア・インターフェース制御ストレージには、セキュア・インターフェース制御からのみアクセスすることができる。
図示のように、ホスト1次仮想アドレス空間510は、ゲストA絶対ページA1.HV、ゲストA絶対ページA2.HV、ゲストB絶対ページB1.HV、およびホスト仮想ページH3.HVを含む。ホスト・ホーム仮想アドレス空間520は、セキュア・インターフェース制御仮想ページU1.HV、ホスト仮想ページH1.HV、およびホスト仮想ページH2.HVを含む。
本発明の1つまたは複数の実施形態によれば、セキュア・ゲスト(例えば、セキュア・ゲストAおよびセキュア・ゲストB)ストレージはすべて、本明細書に記載のゾーン・セキュリティ・テーブルに、セキュア・ゲスト構成に属するものとして登録され、関連するホスト仮想アドレス(例えば、A1.HV、A2.HV、B1.HV)も、ホスト・アドレス・ペアの一部として登録される。1つまたは複数の実施形態では、セキュア・ゲスト・ストレージはすべて、ホスト1次仮想空間にマッピングされる。さらに、セキュア・インターフェース制御ストレージはすべて、同様にゾーン・セキュリティ・テーブルに、セキュア・インターフェース制御に属するものとして登録され、関連するセキュア・ゲスト・ドメインに基づいてゾーン・セキュリティ・テーブル内でさらに区別されてもよい。本発明の1つまたは複数の実施形態によれば、UV仮想ストレージは、ホスト・ホーム仮想空間にマッピングされ、関連するホスト仮想アドレスは、ホスト・アドレス・ペアの一部として登録される。1つまたは複数の実施形態によれば、UV実ストレージは、関連するホスト仮想マッピングを有さず、ゾーン・セキュリティ・テーブル内の(仮想アドレス比較が無効であることを示す)DAビットは、これを示すように設定される。ホスト・ストレージは、非セキュアとしてマークされ、ゾーン・セキュリティ・テーブルにも非セキュアとして登録される。
したがって、「ゲスト絶対=ホスト仮想」の場合、(HPASCE591によって定義される)ハイパーバイザ(ホスト)1次DATテーブルは、ホスト1次仮想アドレス空間510のページを次のように変換する。ゲストA絶対ページA1.HVは、セキュア・ゲストAに属するホスト絶対A1.HAにマッピングされ、ゲストA絶対ページA2.HVは、セキュア・ゲストAに属するホスト絶対A2.HAにマッピングされ、ゲストB絶対ページB1.HVは、セキュア・ゲストBに属するホスト絶対B1.HAにマッピングされ、ホスト仮想ページH3.HVは、ホスト絶対ページH3.HA非セキュア・ホストにマッピングされる(非セキュアであるため、ホスト・アドレス・ペアはない)。さらに、(HHASCE592によって定義される)ハイパーバイザ(ホスト)・ホームDATテーブルは、ホスト・ホーム仮想アドレス空間520のページを次のように変換する。セキュア・インターフェース制御仮想ページU1.HVは、セキュアUV仮想と定義されたホスト絶対ページU1.HAにマッピングされ、ホスト仮想ページH1.HVは、非セキュアと定義されたホスト絶対ページH1.HAにマッピングされ、ホスト仮想ページH2.HVは、非セキュアと定義されたホスト絶対ページH2.HAにマッピングされる。H1.HAおよびH2.HAは非セキュアであるため、H1.HAまたはH2.HAのいずれかに関連するホスト・アドレス・ペアはない。
動作中、セキュア・インターフェース制御に割り当てられたセキュア・ページにセキュア・ゲストがアクセスしようとすると、ハードウェアによってハイパーバイザにセキュア・ストレージ違反(「3F」X)例外が提示される。非セキュア・ゲストまたはハイパーバイザが(セキュア・インターフェース制御に割り当てられたページを含む)いずれかのセキュア・ページにアクセスしようとすると、ハードウェアによってハイパーバイザにセキュア・ストレージ・アクセス(「3D」X)例外が提示される。代替として、セキュア・インターフェース制御空間に対して行われたアクセスの試行について、エラー状態を提示することができる。ハードウェアがセキュア・インターフェース制御アクセスにおいてセキュアな割り当ての不一致を検出した場合(例えば、ストレージがセキュア・インターフェース制御ではなくセキュア・ゲストに属するものとしてゾーン・セキュリティ・テーブルに登録されている場合、または登録済みのペアで使用されているホスト・アドレス・ペアに不一致がある場合)、チェックが提示される。
言い換えれば、ホスト1次仮想アドレス空間510は、(セキュア・ゲストAに属する)ホスト仮想ページA1.HVおよびA2.HV、ならびに(セキュア・ゲストBに属する)ホスト仮想ページB1.HVを含み、これらは、ホスト絶対A1.HA、A2.HA、およびB1.HAにそれぞれマッピングされる。さらに、ホスト1次仮想アドレス空間510は、ホスト(ハイパーバイザ)・ページH3.HVを含み、これは、ホスト絶対H3.HAにマッピングされる。ホスト・ホーム仮想空間520は、2つのホスト仮想ページH1.HVおよびH2.HVを含み、これらは、ホスト絶対ページH1.HAおよびH2.HAにマッピングされる。ホスト1次仮想アドレス空間510とホスト・ホーム仮想アドレス空間520とはどちらも、単一のホスト絶対530にマッピングされる。セキュア・ゲストAおよびセキュア・ゲストBに属するストレージ・ページは、セキュアとしてマークされ、それらのセキュア・ドメインおよび関連するホスト仮想アドレスと共に、図1に示すゾーン・セキュリティ・テーブル100に登録される。一方、ホスト・ストレージは非セキュアとしてマークされる。ハイパーバイザがセキュア・ゲストを定義している場合、ハイパーバイザは、これらのセキュア・ゲストのサポートに必要なセキュア制御ブロックに使用するために、セキュア・インターフェース制御にホスト・ストレージを提供しなければならない。このストレージは、ホスト絶対空間またはホスト仮想空間のいずれか、一例では、具体的にはホスト・ホーム仮想空間内で定義することができる。図5に戻ると、ホスト絶対ページU1.HAおよびホスト絶対ページU2.HAセキュアUV絶対は、ホスト絶対ストレージと定義されているセキュア・インターフェース制御ストレージである。結果として、これらのページはセキュアとしてマークされ、関連するセキュア・ドメインと共に、図1に示すゾーン・セキュリティ・テーブル100にセキュア・インターフェース制御に属するものとして登録される。ページはホスト絶対アドレスと定義されるので、関連するホスト仮想アドレスは存在せず、したがってゾーン・セキュリティ・テーブル100にDAビットが設定される。
図6において、変換後のハイパーバイザ(ホスト)絶対アドレス空間530の例を見出すことができる。図6には、本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御メモリに関するシステム概略図600が示されている。システム概略図600は、ホスト絶対ページA2.HAセキュア・ゲストA(A2.HV用)、ホスト絶対ページB1.HAセキュア・ゲストB(B1.HV用)、ホスト絶対ページH1.HA非セキュア(ホスト)、ホスト絶対ページH2.HA非セキュア(ホスト)、ホスト絶対ページU3.HAセキュアUV実(HVマッピング無し)、ホスト絶対ページU1.HAセキュアUV仮想(U1.HV用)、ホスト絶対ページA1.HAセキュア・ゲストA(A1.HV用)を含む、ハイパーバイザ(ホスト)絶対アドレス空間630を示す。
次に図7を参照すると、本発明の1つまたは複数の実施形態による、インポート動作のためのプロセス・フロー700が概略的に示されている。ハイパーバイザによってページ・アウトされたページにセキュア・ゲストがアクセスすると、そのページを安全に戻すために、プロセス・フロー700に示すような一連のイベントが発生する。プロセス・フロー700はブロック705で開始し、セキュア・ゲストがゲスト仮想ページにアクセスする。例えば、ページが無効であるため、ハードウェアは、プログラム割り込みコード11(PIC11)によって示されるホスト・ページ・フォールトをハイパーバイザに提示する(ブロック715を参照)。次に、ハイパーバイザは、このゲスト・ページに対して使用可能な非セキュア・ホスト絶対ページを識別し(ブロック720を参照)、識別されたホスト絶対ページに暗号化されたゲスト・ページをページ・インする(ブロック725を参照)。
次いで、ブロック730において、ホスト絶対ページは、(ホスト仮想アドレスに基づく)適切なホストDATテーブルにマッピングされる。次いで、ブロック735において、ハイパーバイザ・ホストが、セキュア・ゲストを再ディスパッチする。ブロック740において、セキュア・ゲストは、ゲスト・セキュア・ページに再アクセスする。ページ・フォールトはもはや存在しないが、このセキュア・ゲスト・アクセスおよびページは図1のゾーン・セキュリティ・テーブル100にセキュアとしてマークされないので、ブロック745においてハードウェアは、非セキュア・ストレージ例外(PIC3E)をハイパーバイザに提示する。このPIC3Eは、必要なインポートが発行されるまで、ゲストによるこのセキュア・ページへのアクセスを防止する。次に、プロセス・フロー700は、図8に接続されている「A」に進む。
次に図8を参照すると、本発明の1つまたは複数の実施形態による、インポート動作を実行するためのプロセス・フロー800が概略的に示されている。正常に動作する(例えば、エラー無しで期待どおりに実行する)ハイパーバイザは、PIC3Eに応答して、インポートUVCを発行する(ブロック805を参照)。なお、この時点で、インポートされるページは、非セキュアとしてマークされ、ハイパーバイザ、他の非セキュア・エンティティ、およびセキュア・インターフェース制御によってのみアクセスされ得る。インポートされるページに、セキュア・ゲストによってアクセスすることはできない。
インポートUVCの一部として、セキュア・インターフェース制御として機能する信頼できるファームウェアは、このページがセキュア・インターフェース制御によってすでにロックされているかどうかを確認するためにチェックする(判定ブロック810を参照)。すでにロックされている場合、プロセス・フロー800はブロック820に進む。ブロック820において、「ビジー」リターン・コードがハイパーバイザに返され、ハイパーバイザは、応答して、遅延し(ブロック825を参照)、インポートUVCを再発行する(プロセス・フロー800はブロック805に戻る)。ページがまだロックされていない場合、プロセス・フロー800は、判定ブロック822に進む。
判定ブロック822において、セキュア・インターフェース制御は、ページが非セキュア・ハイパーバイザと共有されているページであるかどうかを確認するためにチェックする。ページが共有されている場合(プロセス・フロー800は判定ブロック824に進み)、セキュア・インターフェース制御は、ゾーン・セキュリティ・テーブル内のホスト絶対アドレスを、関連するセキュア・ゲスト・ドメインおよびホスト仮想アドレスに、共有として登録する。このページは、非セキュアとしてマークされたままである。これでインポートUVCが完了し、ここでゲストは、ページにアクセスして利用できるようになる。処理は、ハイパーバイザがゲストを再ディスパッチし(ブロック830)、セキュア・ゲストがページに正常にアクセスする(ブロック835)ことで続行する。
インポートされるホスト仮想ページがハイパーバイザと共有されていない場合(プロセス・フロー800はブロック840に進み)、セキュア・インターフェース制御は、ハイパーバイザはそのページにアクセスできなくなるようにページをセキュアとしてマークする。ブロック845において、他のUVCはページのステータスを変更することができないように、セキュア・インターフェース制御はページをロックする。ロックが設定されると、(ブロック850において)セキュア・インターフェース制御は、ゲスト・ページの内容が、暗号化されている間に変更されていないことを検証する。ゲスト・ページの内容が変更された場合、ハイパーバイザにエラー・リターン・コードが返され、変更されていない場合、セキュア・インターフェース制御はセキュア・ページを復号する。
ブロック855において、セキュア・インターフェース制御は、ページをロック解除して他のUVCによるアクセスを許可し、ページをゾーン・セキュリティ・テーブルにセキュアとして登録し、適切なゲスト・ドメインおよびホスト仮想アドレスに関連付けて、ホスト・アドレスHV->HAペアを完成させる。これにより、ゲストによるアクセスが可能になり、UVCが完了する。
次に図9を参照すると、本発明の1つまたは複数の実施形態による、提供されたメモリの動作に関するプロセス・フロー900が概略的に示されている。プロセス・フロー900はブロック905で開始し、ハイパーバイザがセキュア・インターフェース制御にクエリUVCを発行する。ブロック910において、セキュア・インターフェース制御は、データ(例えば、クエリUVC)を返す。このデータは、必要とされる基本ゾーン固有ホスト絶対ストレージの容量、必要とされる基本セキュア・ゲスト・ドメイン固有ホスト絶対ストレージの容量、MBごとの必要となる可変セキュア・ゲスト・ドメイン固有ホスト仮想ストレージの容量、または必要となる基本セキュア・ゲストCPU固有ホスト絶対ストレージの容量、あるいはその組合せを含むことができる。
ブロック915において、ハイパーバイザは、(例えば、クエリUVCによって返されるサイズに基づいて)基本ホスト絶対ゾーン固有ストレージを確保する。ブロック920において、ハイパーバイザは、セキュア・インターフェース制御に初期化を発行する。この点に関連して、ハイパーバイザは、提供されたストレージを、ゾーン全体のセキュア・ゲスト構成間で調整するために必要なUV制御ブロックに提供する、初期化UVCを発行することができる。初期化UVCは、基本ゾーン固有ストレージの起点を指定する。
ブロック925において、セキュア・インターフェース制御は、提供されたストレージをUVに登録してセキュアとしてマークすることによって、初期化(例えば、初期化UVC)を実施する。初期化UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージの一部をゾーン・セキュリティ・テーブルに割り当て、提供されたストレージを、UVで使用するために、ゾーン・セキュリティ・テーブルに一意のセキュア・ドメインと共に登録することができるが、関連するセキュア・ゲスト・ドメインはなく、関連するホスト仮想アドレス・ペアはないものとして登録する。
ブロック930において、ハイパーバイザは、ストレージ(例えば、基本および可変のセキュア・ゲスト・ドメイン固有ストレージ)を確保する。例えば、ハイパーバイザは、(例えば、セキュア・ゲスト・ドメイン・ストレージのサイズに基づく)基本および可変のセキュア・ゲスト・ドメイン固有ストレージ(例えば、クエリUVCによって返されるサイズ)を確保する。ブロック935において、ハイパーバイザは、セキュア・インターフェース制御に構成作成を発行する。この点に関連して、ハイパーバイザは、基本および可変のセキュア・ゲスト・ドメイン固有ストレージの起点を指定する、セキュア・ゲスト構成作成UVCを発行することができる。さらに、セキュア・ゲスト構成作成UVCは、提供されたストレージを、このセキュア・ゲスト構成をサポートするために必要なUV制御ブロックに提供する。
ブロック940において、セキュア・インターフェース制御は、構成作成(例えば、セキュア・ゲスト構成作成UVC)を実施する。セキュア・ゲスト構成作成UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージをUVで使用するためにゾーン・セキュリティ・テーブルに登録し、提供されたストレージを関連するセキュア・ゲスト・ドメインに登録することができる。提供された基本(ホスト絶対)ストレージは、関連するホスト仮想アドレス・ペアを有していないものとして登録される。提供された可変(ホスト仮想)ストレージは、関連するホスト仮想アドレス・ペアに登録される。
ブロック945において、ハイパーバイザは基本セキュア・ゲストCPU固有ストレージ(例えば、クエリUVによって返されるサイズ)を確保する。ブロック950において、ハイパーバイザは、ストレージの起点を指定する。例えば、ハイパーバイザは、基本セキュア・ゲストCPU固有ストレージの起点を指定するセキュア・ゲストCPU作成をUVに発行する。ブロック955において、セキュア・インターフェース制御は、CPU作成(例えば、セキュア・ゲストCPU作成UVC)を実施する。セキュア・ゲストCPU作成UVCの場合、セキュア・インターフェース制御は、提供されたストレージをセキュアとしてマークし、提供されたストレージを、UVで使用するために、ゾーン・セキュリティ・テーブルに登録することができるが、関連するセキュア・ゲスト・ドメインはなく、関連するホスト仮想アドレス・ペアはないものとして登録する。
次に図10を参照すると、本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御の非セキュア・ハイパーバイザ・ページからセキュア・ページへの移行に関するプロセス・フロー1000が概略的に示されている。プロセス・フロー1000において、3つのハイパーバイザ・ページ(例えば、非セキュア・ハイパーバイザ・ページA、非セキュア・ハイパーバイザ・ページB、および非セキュア・ハイパーバイザ・ページC)を示す。
ハイパーバイザ(非セキュア)・ページA、B、およびCには、非セキュア・エンティティ(ハイパーバイザを含む)によってアクセスすることができる。さらに、ハイパーバイザ(非セキュア)・ページA、B、およびCは、非セキュア(NS)としてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に非セキュアおよび非共有として登録される。矢印1005において、初期化UVCが発行され、これにより、ゲスト・ページAをゾーン全体(UV2)に関連付けられたセキュア・インターフェース制御実ストレージ・ページ1010に移行させる。セキュア・インターフェース制御実ストレージ1010は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、セキュア・ゲスト・ドメイン無し、ハイパーバイザからホスト絶対への(HV->HA)マッピング無しで、UVとして登録され得る。代わりに、セキュア・インターフェース制御実ストレージ1010は、一意のUV2セキュア・ドメインに登録され、DAビットが1に設定される。なお、セキュア・インターフェース制御実ストレージ1010は、セキュア・インターフェース制御によって実アクセスとしてアクセスされ得る。
ハイパーバイザ(非セキュア)・ページBからの場合、矢印1025において、SG構成作成またはSG-CPU作成UVCが発行され、これにより、このページをセキュア・ゲスト・ドメイン(UVS)に関連付けられたセキュア・インターフェース制御実ストレージ1030に移行させる。セキュア・インターフェース制御実ストレージ1030は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、関連するセキュア・ゲスト・ドメイン有り、ハイパーバイザからホスト絶対への(HV->HA)マッピング無し(すなわち、DAビット=1)で、UVとして登録され得る。なお、セキュア・インターフェース制御実ストレージ1010は、セキュア・ゲスト・ドメインに代わってセキュア・インターフェース制御によって実アクセスとしてアクセスされ得る。
ハイパーバイザ(非セキュア)・ページCの場合、矢印1045において、SG構成作成UVCが発行され、これにより、このページをセキュア・ゲスト・ドメイン(UVV)に関連付けられたセキュア・インターフェース制御仮想ストレージ1050に移行させる。セキュア・インターフェース制御仮想ストレージ1050は、セキュアとしてマークされるとともに、ゾーン・セキュリティ・テーブル(例えば、図1に示すゾーン・セキュリティ・テーブル100)に、セキュア・ゲスト・ドメイン有り、ハイパーバイザからホスト絶対への(HV->HA)マッピング有りで、UVとして登録され得る。なお、セキュア・インターフェース制御仮想ストレージ1050は、セキュア・ゲスト・ドメインに代わってUV仮想アクセスとしてアクセスされ得る。
次に図11を参照すると、1つまたは複数の実施形態による、プログラムまたはセキュア・インターフェース制御によって行われるセキュア・ストレージ・アクセスに関するプロセス・フロー1100が示されている。このフローは、セキュア・インターフェース制御がゲスト・ストレージまたはセキュア・インターフェース制御ストレージにアクセスしようとしており、ハードウェアがそのアクセスのセキュリティを検証できるようにするために、そのアクセスに正しくタグ付けしなければならないという状況を表す。1100は、セキュア・インターフェース制御によるストレージ・アクセスのこのタグ付けについて説明している。プロセス・フロー1100はブロック1110で開始し、セキュア・インターフェース制御は、セキュア・インターフェース制御がセキュア・インターフェース制御ストレージにアクセスしているかどうかを判定する。
アクセスがセキュア・インターフェース制御ストレージへのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)判定ブロック1112に進む。判定ブロック1112において、セキュア・インターフェース制御は、セキュア・インターフェース制御がセキュア・ゲスト・ストレージにアクセスしているかどうかを判定する。アクセスがセキュア・ゲスト・ストレージへのアクセスでない場合、プロセス・フロー1100は(図12のプロセス・フロー1200に接続されている)「B」に進み、非セキュア・アクセス用のデフォルト設定を使用することになる。アクセスがセキュア・ゲスト・ストレージへのアクセスである場合、プロセス・フロー1100は判定ブロック1113に進み、セキュア・インターフェース制御は、デフォルトのセキュア・ゲスト・ドメインが使用されているかどうかを判定する。はいの場合、プロセス・フロー1100は、(図12のプロセス・フロー1200に接続されている)「B」に進み、セキュア・ゲスト・アクセス用のデフォルト設定を使用することになる。いいえの場合、プロセス・フロー1100はブロック1114に進む。ブロック1114において、適切なセキュア・ゲスト・ドメインがSGセキュア・ドメイン・レジスタにロードされる(そして、図12のプロセス・フロー1200に接続されている「B」に進む)。
アクセスがセキュア・インターフェース制御ストレージへのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1120に進む。ブロック1120において、アクセスは、セキュアUVとしてタグ付けされる(例えば、UVセキュア・ドメイン・レジスタを使用する)。
次いで、プロセス・フロー1100は、判定ブロック1130に進み、セキュア・インターフェース制御は、アクセスがUVV空間(例えば、SG構成可変テーブル)へのアクセスであるかどうかを判定する。アクセスがUVV空間へのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1134に進む。ブロック1134において、アクセスは仮想アクセスとしてタグ付けされる。ブロック1136において、適用可能なセキュア・ゲスト・ドメインがUVセキュア・ドメイン・レジスタにロードされる。ブロック1138において、DAT変換およびストレージへのアクセスを開始する準備ができる。判定ブロック1130に戻ると、アクセスがUVV空間へのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)ブロック1140に進む。ブロック1140において、アクセスは、実アクセスとしてタグ付けされる。
判定ブロック1150において、セキュア・インターフェース制御は、このアクセスがUVS空間(例えば、SG構成またはCPUテーブル)へのアクセスであるかどうかを判定する。このアクセスがUVS空間へのアクセスである場合、プロセス・フロー1100は、(はいの矢印で示すように)ブロック1136に進む。このアクセスがUVS空間へのアクセスでない場合、プロセス・フロー1100は、(いいえの矢印で示すように)ブロック1170に進む。このアクセスは、この場合、UV2空間(例えば、ゾーン・セキュリティ・テーブル)へのアクセスになる。ブロック1170において、一意のUV2セキュア・ドメインがUVセキュア・ドメイン・レジスタにロードされる。
図12は、本発明の1つまたは複数の実施形態によるプロセス・フロー1200を示す。ゲストがディスパッチされると、SIEエントリ・ファームウェアは、ゲストが実行されていること(例えば、ゲスト・モードがアクティブであること)をハードウェアに示すことができ、ゲストがセキュアであるかどうかを示すことができる。ゲストがセキュアである場合、関連するセキュア・ゲスト・ドメインが、ハードウェアに(例えば、SGセキュア・ドメイン・レジスタに)ロードされ得る。プログラムがストレージにアクセスしているとき、ハードウェアは、アクセス時のプログラムの現在の状態に基づいてアクセスにタグ付けすることができる。図12は、プロセス・フロー1200におけるこのプロセスの例を示している。ブロック1205において、ハードウェアは、マシンが現在ゲスト・モードで実行されているかどうかを判定することができ、ゲスト・モードで実行されていない場合、ブロック1210でアクセスをホスト・アクセスであるとしてタグ付けし、ブロック1215で非セキュア・アクセスであるとしてタグ付けすることができる。ブロック1205において、マシンがゲスト・モードで実行されている場合、ブロック1220において、アクセスは、ゲスト・アクセスとしてタグ付され得、ハードウェアはさらに、ブロック1225において、現在のゲストがセキュア・ゲストであるかどうかを判定することができる。ゲストがセキュアでない場合、ブロック1215において、アクセスは非セキュアとしてタグ付けされ得る。ゲストがセキュアである場合、ハードウェアは、ブロック1230において、ゲストをセキュアとしてタグ付けすることができ、これにより、セキュア・ゲストを、セキュア・ゲストがディスパッチされたときにロードされたSGセキュア・ドメイン・レジスタに関連付けることができる。ブロック1235において、非セキュア・ゲストとセキュア・ゲストの両方について、DATステータスがチェックされ得る。DATがオフの場合、ブロック1240において、アクセスは実アクセスとしてタグ付けされ得る。DATがオンの場合、ブロック1245において、アクセスは仮想アクセスとしてタグ付けされ得る。DATがオフであることによりブロック1240においてアクセスが実アクセスとしてタグ付けされるか、DATがオンであることによりブロック1245でアクセスが仮想アクセスとしてタグ付けされると、ブロック1250において、ハードウェアは、図13でさらに説明するように変換およびストレージへのアクセスを開始する準備ができる。
図13は、本発明の1つまたは複数の実施形態による、プロセス・フロー1300におけるセキュア・アクセスと非セキュア・アクセスの両方をサポートするためにハードウェアによって行われる変換の例を示す。ブロック1305において、ハードウェアは、アクセスがゲスト変換としてタグ付けされているかどうかを判定することができ、ゲスト変換としてタグ付けされており、ブロック1310においてアクセスが仮想アクセスである場合、ブロック1315において、ゲストDATが実行され得る。ゲストDAT変換中、ゲストDATテーブルについて、ネストされた中間フェッチが発生する可能性がある。元の変換がセキュアとしてタグ付けされている場合、テーブル・フェッチは、ゲスト実アクセスおよびセキュアとしてタグ付けされ得る。テーブル・フェッチは、プロセス・フロー1300の変換プロセスに従うこともできる。ブロック1315において、ゲスト仮想アクセスとしてタグ付けされたアクセスに対してゲストDATが実行され、ブロック1310において、ゲスト実アクセスとしてタグ付けされた任意のアクセス(仮想アクセス=いいえ)に対してゲストDATが実行された後、ブロック1320において、ゲスト・プレフィックス変換およびゲスト・メモリ・オフセットが適用され得る。ゲスト変換プロセスの完了時、ブロック1325において、元のゲスト変換がセキュアとしてタグ付けされている場合、結果として得られたアドレスは、ホスト仮想およびセキュアとしてタグ付けされ得る。プロセス1300は、ホスト仮想アクセスとしてタグ付けされた任意のアクセスに関して続行することができる。元のアクセスが、ブロック1305でホスト・アクセスであり(ゲスト=いいえ)、ブロック1330で仮想アクセスである場合、ブロック1335において、ホストDATが実行され得る。ブロック1335において、ホスト・テーブル・フェッチは、非セキュアとしてマークされ得る。ブロック1335でホストDATが実行された後、またはブロック1330で元のホスト・アクセスが実アクセスとしてタグ付けされた場合(仮想アクセス=いいえ)、ブロック1340において、ホスト・プレフィックス変換が適用され得る。ブロック1345において、結果として得られたアドレスは、ホスト絶対アドレスであり得る。
図14は、本発明の1つまたは複数の実施形態による、プロセス・フロー1400におけるハードウェアによって実行され得るセキュア・ストレージ保護を備えたDAT変換の例を示す。図13のブロック1345から続いて、ブロック1405においてセキュアUVアクセスが識別された場合、ブロック1410において、ハードウェアは、ストレージがセキュアUVストレージとして登録されているかどうかを検証することができ、セキュアUVストレージとして登録されていない場合、ブロック1415においてエラーが提示される。UVストレージにアクセスするとき、セキュア制御インターフェースによってセキュアUVアクセスを行うことができる。ブロック1410において、ストレージがセキュアUVストレージとして登録されている場合、(セキュアUVアクセスを行う前にセキュア制御インターフェースによってセットアップされた)UVセキュア・ドメイン・レジスタが、処理が続行するブロック1420でのドメイン・チェックのための指定されたセキュア・ドメインとして使用され得ることを除いて、保護チェックは、あらゆるセキュア・アクセスに対して実行され得るように継続することができる。さらに、(エントリ・ポイントDの)ブロック1425でUVアクセスについて検出された任意の違反は、ブロック1425でのセキュア・ゲスト違反(セキュアUV=いいえ)に対して行われるようなブロック1435でのハイパーバイザへの例外ではなく、ブロック1430においてエラーとして提示され得る。
ブロック1405でセキュアUVアクセスとしてタグ付けされないアクセスの場合、ブロック1440において、ハードウェアは、アクセスがセキュア・ゲスト・アクセスであるかどうかを判定し、セキュア・ゲスト・アクセスではなく、ブロック1445でページがセキュアとしてマークされている場合、ブロック1435において、ハイパーバイザに例外が提示され得る。そうではなく、ブロック1440でアクセスがセキュア・ゲスト・アクセスではなく、ブロック1445でページがセキュアとしてマークされていない場合、ブロック1450で変換が成功する。
ブロック1440において、アクセスがセキュア・ゲスト・アクセスである場合、またはブロック1410において、アクセスがセキュアUVストレージとして登録されたストレージへのセキュアUVアクセスである場合、ブロック1420において、ハードウェアは、ストレージがアクセスに関連付けられたセキュア・エンティティに登録されていることを確認するためにチェックすることができる。アクセスがセキュアUVアクセスである場合、UVセキュア・ドメイン・レジスタから、(アクセスされているセキュアUVストレージに基づいてセキュア制御インターフェースによってロードされた)指定されたセキュア・ドメインを取得することができ、セキュア・ゲスト・アクセスの場合、SGセキュア・ドメイン・レジスタから、(セキュア・エンティティがディスパッチされたときにロードされた)指定されたセキュア・ドメインを取得する。ブロック1420において、アクセスされているストレージが指定されたセキュア・ドメインに登録されていない場合、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。
ブロック1440およびブロック1410において、ストレージへのセキュア・アクセスであり、ブロック1420において、それらが、指定されたセキュア・ドメインに登録されている場合、ブロック1455で仮想アドレス・チェックが無効であり、すなわちDAビット=1であり、ブロック1460でアクセスが実アクセスであるとき、ブロック1450で変換が完了する。しかしながら、ブロック1455でDAビット=1であるが、ブロック1460でアクセスが仮想アクセスである場合(実アクセス=いいえ)、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。ブロック1455でDAビット=0であり、ブロック1475でアクセスが仮想アクセスである場合、ブロック1470において、ハードウェアは、アクセスのホスト仮想からホスト絶対へのマッピングが、このホスト絶対アドレスについて登録されたマッピングと一致するかどうかを判定することができる。一致する場合、ブロック1450で変換は正常に完了する。ブロック1470においてマッピングが一致しない場合、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。DAビット=0であり、ブロック1475でアクセスが実アクセスである場合(仮想アクセス=いいえ)、ブロック1425でセキュアUVアクセスのとき、ブロック1430においてエラーが発生し、ブロック1425でセキュア・ゲスト・アクセスのとき(セキュアUV=いいえ)、ブロック1435においてハイパーバイザに例外が提示される。あるいは、ブロック1450で変換が正常に完了する場合がある。ブロック1480でのI/Oサブシステムによるアクセスは、ブロック1445でページがセキュアとしてマークされているかどうかを確認するためにチェックすることができ、ページがセキュアである場合、ブロック1435においてハイパーバイザに例外を提示することができ、ページがセキュアとしてマークされていない場合、ブロック1450で変換が成功する。
ストレージ登録およびマッピングの様々なチェックは、ゾーン・セキュリティ・テーブル・インターフェース1485を介して一括して管理され得る。例えば、ブロック1410、1420、1455、1470、および1475は、同じゾーンに関連付けられたゾーン・セキュリティ・テーブルとインターフェースして、様々なアクセスを管理することができる。
次に図15~図16を参照すると、プロセス・フロー1500および1600は、一般に、セキュア・インターフェース制御以外の任意のエンティティによるアクセスを禁止するために、(例えば、信頼できないエンティティによって開始され、セキュア・インターフェース制御によってマークされた)タグ付けメカニズムによって、ストレージを、セキュア・インターフェース制御メモリおよびセキュアとしてマークし、セキュア・ゲスト間の分離用にハードウェア内に設けられているストレージ・セキュリティ・メカニズムによって、セキュア・インターフェース制御メモリを分離することに関する。
図15は、本発明の1つまたは複数の実施形態による、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けのためのプロセス・フロー1500を示す。プロセス・フロー1500はブロック1510で開始し、信頼できないエンティティが、セキュア・インターフェース制御にクエリを発行する。例えば、クエリは、クエリUVCなどの命令呼出しである。
ブロック1520において、セキュア・インターフェース制御は、信頼できないエンティティにデータを返す。データは、クエリUVCなどの命令呼出しにおいて返ることができる。データは、少なくとも提供されるべきストレージの容量を含むことができる。例えば、少なくとも提供されるべきストレージの容量は、基本ゾーン固有ストレージのサイズ、基本セキュア・ゲスト・ドメイン固有ストレージのサイズ、可変セキュア・ゲスト・ドメイン固有ストレージの(MBあたりの)サイズ、および基本セキュア・ゲストCPU固有ストレージのサイズのうちの1つまたは複数によって定義され得る。
ブロック1530において、信頼できないエンティティは、セキュア・インターフェース制御に初期化を発行する。例えば、初期化は、セキュア・インターフェース制御初期化UVC(Initialize Secure Interface Control UVC)などの、セキュア・インターフェース制御にストレージを提供する命令呼出しである。命令呼出しは、信頼できないエンティティに、基本ゾーン固有ストレージ(クエリUVCによって返された長さ)を確保させることができる。なお、命令呼出しの一部は、基本ゾーン固有ストレージの起点および長さを指定することもできる。
ブロック1540において、セキュア・インターフェース制御は、初期化を実施する。例えば、初期化は、信頼できないエンティティによって行われた、少なくとも提供されたストレージをセキュアとして設定する命令呼出しである。命令呼出しの例は、セキュア・インターフェース制御初期化UVCまたは初期化UVCであり得る。さらに、初期化UVCは、セキュア・インターフェース制御に、提供されたストレージが現在非セキュアであると検証することと、提供されたストレージをセキュアとして設定することと、基本ゾーン固有ストレージをUV2(例えば、ゾーン固有UVホスト絶対ストレージ)に割り当てることとを行わせる。
ブロック1550において、信頼できないエンティティは、構成作成を発行する。例えば、構成作成は、セキュア・インターフェース制御にストレージを提供する命令呼出しである。この点に関連して、この命令呼出しは、セキュア・ゲスト構成作成(Create Secure Guest Config)またはSG構成作成(Create SG Config)とすることができる。さらに、信頼できないエンティティは、基本セキュア・ゲスト・ドメイン固有ストレージ(クエリUVCによって返された長さ)を確保し、セキュア・ゲスト・ドメイン・ストレージのサイズ(クエリUVCによって返されたMBあたりの長さ)に基づいて、可変セキュア・ゲスト・ドメイン固有ストレージを確保し、基本ならびに変数のセキュア・ゲスト・ドメイン固有ストレージの起点および長さを指定する。
プロセス・フロー1500は、次いで、図16のプロセス・フロー1600に接続する丸印Mに進む。
次に図16を参照すると、本発明の1つまたは複数の実施形態による、図15のプロセス・フローの丸印Mの続きである、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けのためのプロセス・フロー1600が示されている。
ブロック1660において、セキュア・インターフェース制御は、構成作成を実施する。動作中、構成作成は、提供されたストレージをセキュア・インターフェース制御に登録し、この提供されたストレージをセキュアとしてマークする。構成作成は、セキュア・ゲスト構成作成UVC(Create Secure Guest Config UVC)またはSG構成作成UVC(Create SG Config UVC)などの命令呼出しとすることができる。SG構成作成UVCの場合、セキュア・インターフェース制御は、提供されたストレージが現在非セキュアであると検証し、提供されたストレージをセキュアとして設定し、基本セキュア・ゲスト・ドメイン固有ストレージをUVS(例えば、UVセキュア・ゲスト・ドメイン固有ホスト絶対ストレージ)に割り当て、可変セキュア・ゲスト・ドメイン固有ストレージをUVV(例えば、UVセキュア・ゲスト・ドメイン固有ホスト仮想ストレージ)に割り当てることができる。
ブロック1670において、信頼できないエンティティは、CPU作成を発行する。例えば、CPU作成は、セキュア・インターフェース制御にストレージを提供する命令呼出しである。この点に関連して、この命令呼出しは、セキュア・ゲストCPU作成(Create Secure Guest CPU)またはSG CPU作成(Create SG CPU)とすることができる。例えば、信頼できないエンティティは、基本セキュア・ゲストCPU固有ストレージ(クエリ・ウルトラバイザUVCによって返された長さ)を確保し、基本セキュア・ゲストCPU固有ストレージの起点および長さを指定する。
ブロック1680において、セキュア・インターフェース制御は、CPU作成を実施する。例えば、CPU作成は、提供されたストレージをセキュア・インターフェース制御に登録し、セキュアとしてマークする命令呼出しである。この点に関連して、この命令呼出しは、セキュア・ゲストCPU作成UVC(Create Secure Guest CPU UVC)またはSG CPU作成UVC(Create SG CPU UVC)とすることができる。例えば、セキュア・インターフェース制御は、提供されたストレージが現在非セキュアであると検証し、提供されたストレージをセキュアとして設定し、基本セキュア・ゲスト・ドメイン固有ストレージをUVS(例えば、UVセキュア・ゲスト・ドメイン固有ホスト絶対ストレージ)に割り当てる。
本開示はクラウド・コンピューティングに関する詳細な説明を含むが、本明細書に記載された教示の実装がクラウド・コンピューティング環境に限定されないことを理解されたい。むしろ、本発明の実施形態は、現在知られている、または後に開発される他の任意のタイプのコンピューティング環境と組み合わせて実装することが可能である。
クラウド・コンピューティングは、最小限の管理労力、またはサービス・プロバイダとの最小限の対話で迅速にプロビジョニングおよび解放され得る構成可能なコンピューティング・リソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、VM、およびサービス)の共用プールへの簡便かつオンデマンドのネットワーク・アクセスを可能にするためのサービス提供のモデルである。このクラウド・モデルは、少なくとも5つの特徴、少なくとも3つのサービス・モデル、および少なくとも4つの展開モデルを含み得る。
特徴は、以下の通りである。
オンデマンド・セルフサービス:クラウド・コンシューマは、サービス・プロバイダとの間で人間の対話を必要とすることなく、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージなどのコンピューティング機能を一方的にプロビジョニングすることができる。
広範なネットワーク・アクセス:機能は、ネットワーク上で利用可能であり、異種のシン・クライアント・プラットフォームまたはシック・クライアント・プラットフォーム(例えば、携帯電話、ラップトップ、およびPDA)による使用を促進する標準的なメカニズムを介してアクセスされる。
リソースのプール化:プロバイダのコンピューティング・リソースは、マルチテナント・モデルを使用して複数のコンシューマにサービス提供するようにプール化され、異なる物理リソースおよび仮想リソースが、要求に応じて動的に割り当ておよび再割り当てされる。コンシューマは一般に、提供されるリソースの正確な位置に対して制御も知識も有していないが、より高い抽象化レベルでは位置(例えば、国、州、またはデータ・センター)を特定し得るという点で、位置の独立性があるといえる。
迅速な柔軟性:機能を、迅速かつ柔軟に、場合によっては自動的にプロビジョニングして素早くスケール・アウトし、迅速に解放して素早くスケール・インすることができる。コンシューマにとっては、プロビジョニングに利用可能な機能は、しばしば無制限であるように見え、いつでも任意の数量で購入することができる。
サービスの測定:クラウド・システムは、サービスのタイプ(例えば、ストレージ、処理、帯域幅、およびアクティブなユーザ・アカウント)に適した一定の抽象化レベルでの計量機能を活用することによって、リソースの使用を自動的に制御および最適化する。リソースの使用状況を監視、制御、および報告することができ、利用するサービスのプロバイダとコンシューマの両方に透明性を提供する。
サービス・モデルは、以下の通りである。
ソフトウェア・アズ・ア・サービス(SaaS):クラウド・インフラストラクチャ上で動作しているプロバイダのアプリケーションを使用するために、コンシューマに提供される機能である。アプリケーションは、ウェブ・ブラウザ(例えば、ウェブ・ベースの電子メール)などのシン・クライアント・インターフェースを介して様々なクライアント・デバイスからアクセス可能である。限定されたユーザ固有のアプリケーション構成設定を想定される例外として、コンシューマは、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個々のアプリケーション機能でさえも含む基礎となるクラウド・インフラストラクチャを管理も制御もしない。
プラットフォーム・アズ・ア・サービス(PaaS):プロバイダによってサポートされるプログラミング言語およびツールを使用して生成されたコンシューマが生成または取得したアプリケーションをクラウド・インフラストラクチャ上に展開するために、コンシューマに提供される機能である。コンシューマは、ネットワーク、サーバ、オペレーティング・システム、またはストレージなどの基礎となるクラウド・インフラストラクチャを管理も制御もしないが、展開されたアプリケーション、および場合によってはアプリケーションをホストする環境構成を制御する。
インフラストラクチャ・アズ・ア・サービス(IaaS):オペレーティング・システムおよびアプリケーションを含み得る任意のソフトウェアをコンシューマが展開および動作させることができる、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースをプロビジョニングするために、コンシューマに提供される機能である。コンシューマは、基礎となるクラウド・インフラストラクチャを管理も制御もしないが、オペレーティング・システム、ストレージ、展開されたアプリケーションを制御し、場合によっては選択されたネットワーキング・コンポーネント(例えば、ホスト・ファイアウォール)を限定的に制御する。
展開モデルは、以下の通りである。
プライベート・クラウド:クラウド・インフラストラクチャは、ある組織のためだけに運用される。このクラウド・インフラストラクチャは、組織またはサード・パーティによって管理されてもよく、オンプレミスまたはオフプレミスで存在してもよい。
コミュニティ・クラウド:クラウド・インフラストラクチャは複数の組織で共有され、関心事項(例えば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンス上の考慮事項)を共有している特定のコミュニティをサポートする。このクラウド・インフラストラクチャは、組織またはサード・パーティによって管理されてもよく、オンプレミスまたはオフプレミスで存在してもよい。
パブリック・クラウド:クラウド・インフラストラクチャは、一般公衆または大規模な業界グループにとって利用可能であり、クラウド・サービスを販売する組織によって所有される。
ハイブリッド・クラウド:クラウド・インフラストラクチャは、固有のエンティティのままであるが、データおよびアプリケーションの移植性(例えば、クラウド間の負荷分散のためのクラウド・バースティング)を可能にする標準化された技術または専用の技術によって互いに結び付けられる2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)の合成である。
クラウド・コンピューティング環境は、ステートレス性、低結合性、モジュール性、および意味的相互運用性に焦点を置くことを重視したサービスである。クラウド・コンピューティングの中心は、相互接続されたノードのネットワークを含むインフラストラクチャである。
次に図17を参照すると、例示的なクラウド・コンピューティング環境50が示されている。図示のように、クラウド・コンピューティング環境50は、例えば、携帯情報端末(PDA:personal digital assistant)もしくは携帯電話54A、デスクトップ・コンピュータ54B、ラップトップ・コンピュータ54C、または自動車コンピュータ・システム54Nあるいはその組合せなどのクラウド・コンシューマによって使用されるローカル・コンピューティング・デバイスが通信することができる1つまたは複数のクラウド・コンピューティング・ノード10を含む。ノード10は、互いに通信してもよい。ノード10は、本明細書で上述したようなプライベート・クラウド、コミュニティ・クラウド、パブリック・クラウド、またはハイブリッド・クラウド、あるいはこれらの組合せなどの1つまたは複数のネットワーク内で物理的にまたは仮想的にグループ化されてもよい(図示せず)。これにより、クラウド・コンピューティング環境50は、インフラストラクチャ、プラットフォーム、またはソフトウェア・アズ・ア・サービス、あるいはその組合せを、クラウド・コンシューマがローカル・コンピューティング・デバイス上にリソースを保持する必要のないサービスとして提供することが可能になる。図17に示すコンピューティング・デバイス54A~54Nのタイプは、例示のみを意図しており、コンピューティング・ノード10およびクラウド・コンピューティング環境50は、(例えば、ウェブ・ブラウザを使用して)任意のタイプのネットワークまたはネットワーク・アドレス指定可能な接続あるいはその両方を介して任意のタイプのコンピュータ化されたデバイスと通信できることを理解されたい。
次に図18を参照すると、クラウド・コンピューティング環境50(図17)によって提供される機能抽象化層のセットが示されている。図18に示すコンポーネント、層、および機能は、例示のみを意図しており、本発明の実施形態はそれらに限定されないことを予め理解されたい。図示のように、以下の層および対応する機能が提供される。
ハードウェアおよびソフトウェア層60は、ハードウェア・コンポーネントおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例には、メインフレーム61、RISC(縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ62、サーバ63、ブレード・サーバ64、記憶デバイス65、ならびにネットワークおよびネットワーキング・コンポーネント66が含まれる。いくつかの実施形態では、ソフトウェア・コンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア67およびデータベース・ソフトウェア68を含む。
仮想化層70は、抽象化層を提供し、この層から仮想エンティティの以下の例、すなわち、仮想サーバ71、仮想ストレージ72、仮想プライベート・ネットワークを含む仮想ネットワーク73、仮想アプリケーションおよびオペレーティング・システム74、ならびに仮想クライアント75が提供され得る。
一例において、管理層80は、以下に記載の機能を提供することができる。リソース・プロビジョニング81は、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング・リソースおよび他のリソースの動的な調達を提供する。計量および価格決定82は、クラウド・コンピューティング環境内でリソースが利用されるときのコスト追跡、およびこれらのリソースの消費に対する課金または請求を提供する。一例において、これらのリソースは、アプリケーション・ソフトウェア・ライセンスを含むことがある。セキュリティは、クラウド・コンシューマおよびタスクのための本人確認、ならびにデータおよび他のリソース用の保護を提供する。ユーザ・ポータル83は、コンシューマおよびシステム管理者にクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理84は、要求されるサービス・レベルが満たされるように、クラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル・アグリーメント(SLA)の計画および履行85は、SLAに従って将来において要求されることが予想されるクラウド・コンピューティング・リソースの事前配置および調達を提供する。
ワークロード層90は、クラウド・コンピューティング環境が利用され得る機能の例を提供する。この層から提供され得るワークロードおよび機能の例には、マッピングおよびナビゲーション91、ソフトウェア開発およびライフサイクル管理92、仮想教室教育配信93、データ分析処理94、トランザクション処理95、ならびにセキュア・ストレージ・ハードウェアのタグ付け96が含まれる。これらはほんの一例であり、他の実施形態では層が異なるサービスを含むこともできることを理解されたい。
次に図19を参照すると、本発明の1つまたは複数の実施形態によるシステム1900が示されている。システム1900は、ネットワーク165を介するなどして、1つまたは複数のクライアント・デバイス20A~20Eと直接的または間接的に通信している例示的なノード10(例えば、ホスティング・ノード)を含む。ノード10は、クラウド・コンピューティング・プロバイダのデータ・センターまたはホストサーバとすることができる。ノード10は、1つまたは複数のVM15(15A~15N)の展開を容易化するハイパーバイザ12を実行する。ノード10は、VM15A~VM15Nおよびハイパーバイザ12によって必要とされる機能を直接サポートするとともにハイパーバイザ12がVM15に1つまたは複数のサービスを提供することを容易化する、ハードウェア/ファームウェア層11をさらに含む。最新の実装では、ハードウェア/ファームウェア層11とハイパーバイザ12との間の通信、ハードウェア/ファームウェア層11とVM15との間の通信、ハイパーバイザ12とVM15との間の通信、およびハードウェア/ファームウェア層11を介したハイパーバイザ12とVM15との間の通信が提供される。本発明の1つまたは複数の実施形態によれば、セキュア・インターフェース制御はハードウェア/ファームウェア層11内に設けられ、ハイパーバイザ12とVM15との間の直接の通信が排除される。
例えば、ノード10は、クライアント・デバイス20AがVM15A~15Nのうちの1つまたは複数を展開することを容易化することができる。VM15A~15Nは、別個のクライアント・デバイス20A~20Eからのそれぞれの要求に応答して展開されてもよい。例えば、VM15Aは、クライアント・デバイス20Aによって展開されてもよく、VM15Bは、クライアント・デバイス20Bによって展開されてもよく、VM15Cは、クライアント・デバイス20Cによって展開されてもよい。ノード10はまた、クライアントが(VMとして実行することなく)物理サーバをプロビジョニングすることを容易化することもできる。本明細書に記載の例は、ノード10内のリソースをVMの一部としてプロビジョニングすることを具現化するが、記載した技術上の解決策を適用して、リソースを物理サーバの一部としてプロビジョニングすることもできる。
一例において、クライアント・デバイス20A~20Eは、個人、企業、政府機関、会社内の部門、または他の任意のエンティティなどの同じエンティティに属することができ、ノード10は、エンティティのプライベート・クラウドとして動作されてもよい。この場合、ノード10は、エンティティに属するクライアント・デバイス20A~20Eによって展開されるVM15A~15Nのみをホストする。別の例では、クライアント・デバイス20A~20Eは、別個のエンティティに属してもよい。例えば、第1のエンティティは、クライアント・デバイス20Aを所有してもよく、第2のエンティティは、クライアント・デバイス20Bを所有してもよい。この場合、ノード10は、異なるエンティティからのVMをホストするパブリック・クラウドとして動作されてもよい。例えば、VM15A~15Nは、VM15AがVM15Bへのアクセスを容易化しない、覆い隠す方式(shrouded manner)で展開されてもよい。例えば、ノード10は、IBM z Systems(R)プロセッサ・リソース/システム・マネージャ(PR/SM:Resource/Systems Manager)論理パーティション(LPAR:Logical Partition)機能を使用して、VM15A~15Nを覆い隠すことができる。PR/SM LPARなどのこれらの機能は、パーティション間の分離を実現し、それにより、ノード10が異なる論理パーティション内の同じ物理ノード10上の異なるエンティティに対して2つ以上のVM15A~15Nを展開することを容易化する。
クライアント・デバイス20A~20Eの中のクライアント・デバイス20Aは、コンピュータ、スマートフォン、タブレット・コンピュータ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、サーバ・コンピュータ、またはノード10のハイパーバイザ12によるVMの展開を要求する他の任意の通信装置などの通信装置である。クライアント・デバイス20Aは、ネットワーク165を介してハイパーバイザによる受信を求める要求を送信してもよい。VM15A~15Nの中のVM15Aは、クライアント・デバイス20A~20Eの中のクライアント・デバイス20Aからの要求に応答してハイパーバイザ12が展開するVMイメージである。ハイパーバイザ12は、VMモニタ(VMM:VM monitor)であり、VMモニタは、VMを作成および実行するソフトウェア、ファームウェア、またはハードウェアとすることができる。ハイパーバイザ12は、VM15Aがノード10のハードウェア・コンポーネントを使用してプログラムを実行すること、またはデータを格納すること、あるいはその両方を容易化する。適切な機能および変更を加えたハイパーバイザ12は、IBM z Systems(R)、OracleのVM Server、CitrixのXenServer、VmwareのESX、Microsoft Hyper-V hypervisor、または他の任意のハイパーバイザとすることができる。ハイパーバイザ12は、ノード10上で直接実行するネイティブ・ハイパーバイザ、または別のハイパーバイザ上で実行するホストされたハイパーバイザとすることができる。
次に図20を参照すると、本発明の1つまたは複数の実施形態による、本明細書の教示を実施するためのノード10が示されている。ノード10は、本明細書に記載した様々な通信技術を利用する任意の数のコンピューティング・デバイスおよびネットワークならびにその組合せを備えるか、または展開するか、あるいはその両方である、電子コンピュータ・フレームワークとすることができる。ノード10は、異なるサービスに変化する、またはある機能を別の機能とは独立して再構成する能力を有する、容易に拡大縮小可能で拡張可能なモジュール式とすることができる。
この実施形態において、ノード10は、プロセッサ2001を有し、プロセッサ2001には、1つまたは複数の中央処理装置(CPU:central processing unit)2001a、2001b、2001cなどが含まれ得る。プロセッサ2001は、処理回路、マイクロプロセッサ、コンピューティング・ユニットとも呼ばれ、システム・バス2002を介してシステム・メモリ2003および他の様々なコンポーネントに結合される。システム・メモリ2003は、読み取り専用メモリ(ROM:read only memory)2004およびランダム・アクセス・メモリ(RAM:random access memory)2005を含む。ROM2004は、システム・バス2002に結合され、ノード10の特定の基本機能を制御する基本入出力システム(BIOS:basic input/output system)を含んでもよい。RAMは、プロセッサ2001によって使用するためにシステム・バス2002に結合された読み取り/書き込みメモリである。
図20のノード10は、ハード・ディスク2007を含み、ハード・ディスク2007は、プロセッサ2001によって読み取り可能で実行可能な有形記憶媒体の例である。ハード・ディスク2007は、ソフトウェア2008およびデータ2009を記憶する。ソフトウェア2008は、(図1~図19を参照して説明したプロセスなどのプロセスを実行するために)プロセッサ2001によってノード10上で実行するための命令として記憶される。データ2009は、ソフトウェア2008の動作をサポートし、ソフトウェア2008の動作によって使用される、様々なデータ構造で編成された質的変数または量的変数の一連の値を含む。
図20のノード10は、プロセッサ2001と、システム・メモリ2003と、ハード・ディスク2007と、ノード10の他のコンポーネント(例えば、周辺機器および外部デバイス)との間の通信を相互接続およびサポートする1つまたは複数のアダプタ(例えば、ハード・ディスク・コントローラ、ネットワーク・アダプタ、グラフィックス・アダプタなど)を含む。本発明の1つまたは複数の実施形態において、1つまたは複数のアダプタは、中間バス・ブリッジを介してシステム・バス2002に接続される1つまたは複数のI/Oバスに接続されることが可能であり、1つまたは複数のI/Oバスは、周辺機器相互接続(PCI:Peripheral Component Interconnect)などの一般的なプロトコルを利用することができる。
図示のように、ノード10は、キーボード2021、マウス2022、スピーカ2023、およびマイクロホン2024をシステム・バス2002に相互接続するインターフェース・アダプタ2020を含む。ノード10は、システム・バス2002をディスプレイ2031に相互接続するディスプレイ・アダプタ2030を含む。ディスプレイ・アダプタ2030(またはプロセッサ2001あるいはその両方)は、GUI2032の表示および管理などのグラフィックス性能を提供するためのグラフィックス・コントローラを含むことができる。通信アダプタ2041は、システム・バス2002をネットワーク2050と相互接続し、ノード10が、サーバ2051およびデータベース2052などの他のシステム、デバイス、データ、およびソフトウェアと通信できるようにする。本発明の1つまたは複数の実施形態において、ソフトウェア2008およびデータ2009の動作は、サーバ2051およびデータベース2052によってネットワーク2050上で実施することができる。例えば、ネットワーク2050、サーバ2051、およびデータベース2052を組み合わせて、ソフトウェア2008およびデータ2009の内部反復を、プラットフォーム・アズ・ア・サービス、ソフト・ウェア・アズ・ア・サービス、またはインフラストラクチャ・アズ・ア・サービスあるいはその組合せとして(例えば、分散システムのウェブ・アプリケーションとして)提供することができる。
本明細書に記載の実施形態は、コンピュータ技術、具体的にはVMをホストするコンピュータ・サーバに必然的に根ざしている。さらに、本発明の1つまたは複数の実施形態は、セキュアVMに関連付けられたメモリ、レジスタ、および他のそのようなデータへのアクセスがハイパーバイザでさえ禁止されるセキュアVMを、VMをホストするコンピュータ・サーバがホストすることを容易化することによって、コンピューティング技術自体、具体的にはVMをホストするコンピュータ・サーバの動作の改善を容易化する。さらに、本発明の1つまたは複数の実施形態は、ハードウェア、ファームウェア(例えば、ミリコード)、またはその組合せを含むセキュア・インターフェース制御(本明細書では「ウルトラバイザ」または「UV」とも呼ぶ)を使用してセキュアVMおよびハイパーバイザの分離を容易化し、それによりコンピュータ・サーバによってホストされるVMのセキュリティを維持することによって、コンピューティング・サーバをホストするVMの改善に向けた重要なステップを提供する。セキュア・インターフェース制御は、本明細書に記載のように、VMの初期化/終了中にVMの状態をセキュアにする際に大幅なオーバーヘッドを追加することなくセキュリティを容易化するための、軽い中間動作を提供する。
本明細書に開示する本発明の実施形態は、セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付けを実施するシステム、方法、またはコンピュータ・プログラム製品(本明細書ではシステム)あるいはその組合せを含んでもよい。なお、説明ごとに、要素の識別子は、異なる図の他の同様の要素に再利用されている。
本明細書では、本発明の様々な実施形態について、関連する図面を参照して説明している。本発明の範囲から逸脱することなく、本発明の代替の実施形態も考案することができる。以下の説明および図面では、要素間の様々な接続および位置関係(例えば、上、下、隣接など)が記載されている。これらの接続または位置関係あるいはその両方は、特に明記されていない限り、直接的または間接的とすることができ、本発明はこの点に関して限定するよう意図されていない。したがって、エンティティの結合は、直接的または間接的な結合のいずれかを指す場合があり、エンティティ間の位置関係は、直接的または間接的な位置関係である場合がある。さらに、本明細書に記載の様々なタスクおよびプロセス・ステップは、本明細書に詳細に記載されていない追加のステップまたは機能を有するより包括的な手順またはプロセスに組み込むことができる。
特許請求の範囲および本明細書の解釈のために、以下の定義および略語を使用するものとする。本明細書で使用する「備える(comprises)」、「備えている(comprising)」、「含む(includes)」、「含んでいる(including)」、「有する(has)」、「有している(having)」、「含有する(contains)」、もしくは「含有している(containing)」という用語、またはこれらの他の任意の変形は、非排他的な包含を対象とするよう意図されている。例えば、列挙されている要素を含む組成物、混合物、プロセス、方法、物品、または装置は、必ずしもそれらの要素のみに限定されるわけではなく、明示的に列挙されていないかまたはそのような組成物、混合物、プロセス、方法、物品、または装置に固有の他の要素を含むことができる。
さらに、本明細書において、「例示的」という用語は、「例、実例、または例示としての役割を果たす」ことを意味するように使用されている。本明細書において「例示的」と記載されているいずれの実施形態または設計も、他の実施形態または設計と比較して、必ずしも好ましいまたは有利であると解釈されるべきではない。「少なくとも1つ」および「1つまたは複数」という用語は、1以上の任意の整数、すなわち1、2、3、4などを含むと理解され得る。「複数」という用語は、2以上の任意の整数、すなわち2、3、4、5などを含むと理解され得る。「接続」という用語は、間接的「接続」および直接的「接続」を含むこともできる。
「約」、「実質的に」、「おおよそ」という用語およびそれらの変形は、本出願時に利用可能な機器に基づく特定の量の測定に関連した誤差の程度を含むことを意図している。例えば、「約」は、所与の値の±8%もしくは5%または2%の範囲を含むことができる。
本発明は、任意の可能な技術的詳細の統合レベルでのシステム、方法、またはコンピュータ・プログラム製品あるいはその組合せとすることができる。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実施させるためのコンピュータ可読プログラム命令を有するコンピュータ可読記憶媒体(または複数のコンピュータ可読記憶媒体)を含んでもよい。
コンピュータ可読記憶媒体は、命令実行デバイスが使用するための命令を保持および記憶することができる有形デバイスとすることができる。コンピュータ可読記憶媒体は、例えば、電子記憶デバイス、磁気記憶デバイス、光学記憶デバイス、電磁気記憶デバイス、半導体記憶デバイス、または上記の任意の適切な組合せとすることができるが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストには以下のもの、すなわち、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM)、デジタルバーサタイルディスク(DVD)、メモリ・スティック、フロッピ(R)・ディスク、パンチカードまたは命令が記録された溝内の隆起構造などの機械的に符号化されたデバイス、および上記の任意の適切な組合せが含まれる。本明細書で使用するコンピュータ可読記憶媒体は、電波もしくは他の自由に伝播する電磁波、導波路もしくは他の伝送媒体を介して伝播する電磁波(例えば、光ファイバ・ケーブルを通る光パルス)、または電線を介して送信される電気信号などの、一過性の信号自体であると解釈されるべきではない。
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、または、ネットワーク、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、またはワイヤレス・ネットワークあるいはその組合せを介して外部コンピュータまたは外部記憶デバイスにダウンロードされ得る。ネットワークは、銅伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバあるいはその組合せを含んでもよい。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体での記憶のために転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、インストラクション・セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路用の構成データ、または、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語および「C」プログラミング言語もしくは同様のプログラム言語などの手続き型プログラミング言語を含む1つもしくは複数のプログラミング言語の任意の組合せで書かれたソース・コードもしくはオブジェクト・コードのいずれかとすることができる。コンピュータ可読プログラム命令は、スタンドアロン・ソフトウェア・パッケージとして全体がユーザのコンピュータ上で、一部がユーザのコンピュータ上で、一部がユーザのコンピュータ上かつ一部がリモート・コンピュータ上で、または全体がコンピュータ上もしくはサーバ上で実行されてもよい。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータに対して接続されてもよい。いくつかの実施形態では、本発明の態様を実行するために、コンピュータ可読プログラム命令の状態情報を利用して、例えばプログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路をパーソナライズすることによって、電子回路がコンピュータ可読プログラム命令を実行してもよい。
本発明の態様は、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照しながら本明細書で説明されている。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方のブロックの組合せは、コンピュータ可読プログラム命令によって実施され得ることが理解されよう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラマブル・データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作を実施するための手段を作り出すように、汎用コンピュータ、専用コンピュータ、または他のプログラマブル・データ処理装置のプロセッサに提供されて、マシンを生成するものであってもよい。また、これらのコンピュータ可読プログラム命令は、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作の態様を実施する命令を含む製造品を含むように、コンピュータ可読記憶媒体に記憶され、コンピュータ、プログラマブル・データ処理装置、または他のデバイスあるいはその組合せに対して特定の方式で機能するように指示できるものであってもよい。
また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラマブル装置、または他のデバイスで実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作を実施するように、コンピュータ実施プロセスを生成するべくコンピュータ、他のプログラマブル・データ処理装置、または他のデバイスにロードされて、コンピュータ、他のプログラマブル装置、または他のデバイス上で一連の動作ステップを実行させるものであってもよい。
図中のフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法およびコンピュータ・プログラム製品の可能な実装形態のアーキテクチャ、機能、および動作を示す。この点に関連して、フローチャートまたはブロック図の各ブロックは、指定された論理機能を実装するための1つまたは複数の実行可能命令を含む、命令のモジュール、セグメント、または一部を表すことがある。いくつかの代替の実装形態では、ブロックに記載された機能は、図に記載された順序とは異なる順序で行われてもよい。例えば、連続して示されている2つのブロックは、実際には、関与する機能に応じて、実質的に同時に実行されてもよく、またはそれらのブロックは、場合によっては逆の順序で実行されてもよい。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方のブロックの組合せは、指定された機能または動作を実行するか、あるいは専用ハードウェアとコンピュータ命令との組合せを遂行する専用ハードウェア・ベースのシステムによって実装され得ることにも留意されたい。
本明細書で使用される用語は、特定の実施形態を説明することのみを目的としており、限定することを意図するものではない。本明細書で使用される場合、単数形「ある(a)」、「1つの(an)」および「その(the)」は、文脈上特に明記されていない限り、複数形も含むことを意図している。「備える」または「備えている」あるいはその両方の用語は、本明細書で使用される場合、記載された特徴、整数、ステップ、動作、要素、またはコンポーネントあるいはその組合せの存在を示すが、1つまたは複数の他の機能、整数、ステップ、動作、要素、コンポーネント、またはこれらのグループ、あるいはその組合せの存在または追加を除外するものではないことが、さらに理解されよう。
本明細書における様々な実施形態の説明を例示の目的で提示してきたが、網羅的であることも、開示された実施形態に限定されることも意図されていない。当業者には、説明した実施形態の範囲および思想から逸脱することなく多くの変更形態および変形形態が明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の適用例、もしくは市場で見られる技術を超える技術的な改良を最も良く説明するように、または本明細書で開示される実施形態を当業者が理解することが可能になるように選択されたものである。

Claims (18)

  1. 信頼できないエンティティと通信するセキュア・インターフェース制御によって、提供されたストレージをセキュアとして設定するための初期化命令を実施することであって、前記初期化命令の前記実施が、前記信頼できないエンティティから発行された命令呼出しに応答する、前記初期化命令を実施すること
    を含む、方法。
  2. 前記初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージの一部分をゾーン固有ストレージとして割り当てることと、前記ゾーン固有ストレージに一意のセキュア・ドメインをタグ付けすることとを行わせる、請求項1に記載の方法。
  3. 前記初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージの一部分をセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、前記セキュア・ゲスト・ドメイン固有ストレージに前記セキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることとを行わせる、請求項1または2に記載の方法。
  4. 前記初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージが非セキュアであると検証することと、前記提供されたストレージをセキュア・ストレージとして設定することとを行わせる、請求項1ないし3のいずれか一項に記載の方法。
  5. 前記初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージの一部分を絶対ストレージとして定義するように割り当てることと、前記提供されたストレージの前記一部分に、関連する仮想アドレスがないものとしてタグ付けすることとを行わせる、請求項1ないし4のいずれか一項に記載の方法。
  6. 前記初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージの一部分を仮想ストレージとして定義するように割り当てることと、前記提供されたストレージの前記一部分に、関連する仮想アドレスをタグ付けすることとを行わせる、請求項1ないし5のいずれか一項に記載の方法。
  7. 前記方法が、
    前記セキュア・インターフェース制御によって、前記提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークし、前記セキュア・インターフェース制御に、前記提供されたストレージに一意のセキュア・ドメインをタグ付けすることを行わせる、セキュア・インターフェース制御初期化命令を実施することであって、前記セキュア・インターフェース制御初期化命令の前記実施が、前記信頼できないエンティティから発行された第2の命令呼出しに応答する、前記セキュア・インターフェース制御初期化命令を実施すること
    をさらに含む、請求項1ないし6のいずれか一項に記載の方法。
  8. 前記方法が、
    前記セキュア・インターフェース制御によって、前記提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークし、前記セキュア・インターフェース制御に、前記提供されたストレージに前記セキュア・インターフェース制御に属するものとしてタグ付けすることを行わせる、構成作成命令を実施することであって、前記構成作成命令の前記実施が、前記信頼できないエンティティから発行された第2の命令呼出しに応答する、前記構成作成命令を実施すること
    をさらに含む、請求項1ないし7のいずれか一項に記載の方法。
  9. 前記方法が、
    前記セキュア・インターフェース制御によって、前記提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークし、前記セキュア・インターフェース制御に、前記提供されたストレージに前記セキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることを行わせる、CPU作成命令を実施することであって、前記CPU作成命令の前記実施が、前記信頼できないエンティティから発行された第2の命令呼出しに応答する、前記CPU作成命令を実施すること
    をさらに含む、請求項1ないし8のいずれか一項に記載の方法。
  10. 前記提供されたストレージが、前記信頼できないエンティティによって提供されたすべてのセキュア・インターフェース制御ストレージを含む、請求項1ないし9のいずれか一項に記載の方法。
  11. 請求項1~10の何れか1項に記載の方法を、コンピュータに実行させる、コンピュータ・プログラム。
  12. 請求項11に記載の前記コンピュータ・プログラムをコンピュータ可読記憶媒体に記憶した、記憶媒体。
  13. 請求項1~10の何れか1項に記載の方法を、コンピュータ・ハードウェアによる手段として構成した、システム。
  14. 信頼できないエンティティと通信するセキュア・インターフェース制御によって、提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークする、セキュア・インターフェース制御初期化命令を実施することであって、前記セキュア・インターフェース制御初期化命令の前記実施が、前記信頼できないエンティティから発行された第1の命令呼出しに応答する、前記セキュア・インターフェース制御初期化命令を実施することと、
    前記セキュア・インターフェース制御によって、前記提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークする、セキュア構成作成命令を実施することであって、前記セキュア構成作成命令の前記実施が、前記信頼できないエンティティから発行された第2の命令呼出しに応答する、前記セキュア構成作成命令を実施することと、
    前記セキュア・インターフェース制御によって、前記提供されたストレージを前記セキュア・インターフェース制御に登録し、前記提供されたストレージをセキュアとしてマークする、セキュアCPU作成命令を実施することであって、前記セキュアCPU作成命令の前記実施が、前記信頼できないエンティティから発行された第3の命令呼出しに応答する、前記セキュアCPU作成命令を実施することと
    を含む、方法。
  15. 前記セキュア・インターフェース制御初期化命令の前記実施が、前記セキュア・インターフェース制御に、前記提供されたストレージをゾーン固有ストレージとして割り当てることと、前記ゾーン固有ストレージに一意のセキュア・ドメインをタグ付けすることとを行わせ、
    前記セキュア構成作成命令の前記実施が、前記セキュア・インターフェース制御に、提供された基本セキュア構成ストレージおよび可変セキュア構成ストレージをセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、前記セキュア・ゲスト・ドメイン固有ストレージに前記セキュア・インターフェース制御に属し、関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることとを行わせ、または
    前記セキュアCPU作成命令の前記実施が、前記セキュア・インターフェース制御に、提供された基本セキュアCPUストレージをセキュア・ゲスト・ドメイン固有ストレージとして割り当てることと、前記セキュア・ゲスト・ドメイン固有ストレージに前記セキュア・インターフェース制御に属し、前記関連するセキュア・ゲスト・ドメインで修飾されたものとしてタグ付けすることとを行わせる、
    請求項14に記載の方法。
  16. 前記提供されたゾーン固有ストレージ、前記基本セキュア構成ストレージ、または前記基本セキュアCPUストレージが、絶対ストレージとして定義され、関連する仮想アドレスがないものとしてタグ付けされ、
    前記提供された可変セキュア構成ストレージが、仮想ストレージとして定義され、関連する仮想アドレスでタグ付けされる、
    請求項15に記載の方法。
  17. 前記セキュア・インターフェース制御初期化命令、前記セキュア構成作成命令、または前記セキュアCPU作成命令の前記実施が、前記セキュア・インターフェース制御に、提供されたストレージが非セキュアであると検証することと、前記提供されたストレージをセキュアとして設定することとを行わせる、請求項14~16のいずれか一項に記載の方法。
  18. 前記提供されたストレージが、前記信頼できないエンティティによって提供されたすべてのセキュア・インターフェース制御ストレージを含む、請求項14~17のいずれか一項に記載の方法。
JP2021551745A 2019-03-08 2020-03-06 セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム Active JP7379517B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/296,450 US11283800B2 (en) 2019-03-08 2019-03-08 Secure interface control secure storage hardware tagging
US16/296,450 2019-03-08
PCT/EP2020/055979 WO2020182644A1 (en) 2019-03-08 2020-03-06 Secure interface control secure storage hardware tagging

Publications (3)

Publication Number Publication Date
JP2022522766A JP2022522766A (ja) 2022-04-20
JPWO2020182644A5 JPWO2020182644A5 (ja) 2022-08-12
JP7379517B2 true JP7379517B2 (ja) 2023-11-14

Family

ID=69780193

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021551745A Active JP7379517B2 (ja) 2019-03-08 2020-03-06 セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム

Country Status (14)

Country Link
US (1) US11283800B2 (ja)
EP (1) EP3935510B1 (ja)
JP (1) JP7379517B2 (ja)
KR (1) KR20210119466A (ja)
CN (1) CN113544655B (ja)
AU (1) AU2020233947B2 (ja)
BR (1) BR112021017783A2 (ja)
CA (1) CA3132757A1 (ja)
IL (1) IL285065B2 (ja)
MX (1) MX2021010587A (ja)
SG (1) SG11202105420VA (ja)
TW (1) TWI752412B (ja)
WO (1) WO2020182644A1 (ja)
ZA (1) ZA202106317B (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11347529B2 (en) 2019-03-08 2022-05-31 International Business Machines Corporation Inject interrupts and exceptions into secure virtual machine
US11308215B2 (en) * 2019-03-08 2022-04-19 International Business Machines Corporation Secure interface control high-level instruction interception for interruption enablement
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage
US11068310B2 (en) 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11493975B2 (en) * 2020-09-24 2022-11-08 Intel Corporation System, apparatus and method for providing power monitoring isolation in a processor

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016536720A (ja) 2013-09-24 2016-11-24 インテル・コーポレーション セキュアなメモリの再パーティショニング
US20190042463A1 (en) 2018-09-28 2019-02-07 Vedvyas Shanbhogue Apparatus and method for secure memory access using trust domains

Family Cites Families (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4245302A (en) 1978-10-10 1981-01-13 Magnuson Computer Systems, Inc. Computer and method for executing target instructions
US4787031A (en) 1985-01-04 1988-11-22 Digital Equipment Corporation Computer with virtual machine mode and multiple protection rings
US7194740B1 (en) 1999-05-28 2007-03-20 Oracle International Corporation System for extending an addressable range of memory
US8108873B1 (en) 1999-05-28 2012-01-31 Oracle International Corporation System for extending an addressable range of memory
US6678815B1 (en) 2000-06-27 2004-01-13 Intel Corporation Apparatus and method for reducing power consumption due to cache and TLB accesses in a processor front-end
US8037530B1 (en) 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US7433951B1 (en) 2000-09-22 2008-10-07 Vmware, Inc. System and method for controlling resource revocation in a multi-guest computer system
US7191440B2 (en) 2001-08-15 2007-03-13 Intel Corporation Tracking operating system process and thread execution and virtual machine execution in hardware or in a virtual machine monitor
US7069442B2 (en) 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
US20030226014A1 (en) 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
GB2411027B (en) 2002-11-18 2006-03-15 Advanced Risc Mach Ltd Control of access to a memory by a device
US7149862B2 (en) 2002-11-18 2006-12-12 Arm Limited Access control in a data processing apparatus
AU2004280976A1 (en) 2003-10-08 2005-04-21 Unisys Corporation Computer system para-virtualization using a hypervisor that is implemented in a partition of the host system
US7987497B1 (en) * 2004-03-05 2011-07-26 Microsoft Corporation Systems and methods for data encryption using plugins within virtual systems and subsystems
US7191292B2 (en) 2004-06-04 2007-03-13 Sun Microsystems, Inc. Logging of level-two cache transactions into banks of the level-two cache for system rollback
US7475166B2 (en) 2005-02-28 2009-01-06 International Business Machines Corporation Method and system for fully trusted adapter validation of addresses referenced in a virtual host transfer request
US7685635B2 (en) 2005-03-11 2010-03-23 Microsoft Corporation Systems and methods for multi-level intercept processing in a virtual machine environment
US20070094323A1 (en) 2005-10-25 2007-04-26 Smith Jeffrey C Managed resource sharing method and apparatus
US20080294866A1 (en) 2007-05-22 2008-11-27 Hewlett-Packard Development Company, L.P. Method And Apparatus For Memory Management
US8219988B2 (en) 2007-08-02 2012-07-10 International Business Machines Corporation Partition adjunct for data processing system
US8010763B2 (en) 2007-08-02 2011-08-30 International Business Machines Corporation Hypervisor-enforced isolation of entities within a single logical partition's virtual address space
US8176279B2 (en) 2008-02-25 2012-05-08 International Business Machines Corporation Managing use of storage by multiple pageable guests of a computing environment
US8458438B2 (en) 2008-02-26 2013-06-04 International Business Machines Corporation System, method and computer program product for providing quiesce filtering for shared memory
GB2460393B (en) 2008-02-29 2012-03-28 Advanced Risc Mach Ltd A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry
US8312230B2 (en) * 2008-06-06 2012-11-13 International Business Machines Corporation Dynamic control of partition memory affinity in a shared memory partition data processing system
US8799892B2 (en) 2008-06-09 2014-08-05 International Business Machines Corporation Selective memory donation in virtual real memory environment
US8151032B2 (en) 2008-06-26 2012-04-03 Microsoft Corporation Direct memory access filter for virtualized operating systems
US8261320B1 (en) 2008-06-30 2012-09-04 Symantec Corporation Systems and methods for securely managing access to data
US8370835B2 (en) * 2009-03-12 2013-02-05 Arend Erich Dittmer Method for dynamically generating a configuration for a virtual machine with a virtual hard disk in an external storage device
US9087200B2 (en) 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
US20110153944A1 (en) 2009-12-22 2011-06-23 Klaus Kursawe Secure Cache Memory Architecture
US8510599B2 (en) 2010-06-23 2013-08-13 International Business Machines Corporation Managing processing associated with hardware events
US20120297177A1 (en) * 2010-11-15 2012-11-22 Ghosh Anup K Hardware Assisted Operating System Switch
CN102594852B (zh) 2011-01-04 2016-03-30 中国移动通信集团公司 数据访问方法、节点及系统
KR20120097136A (ko) 2011-02-24 2012-09-03 삼성전자주식회사 가상화 환경에서의 메모리 풀 관리
US8590005B2 (en) 2011-06-08 2013-11-19 Adventium Enterprises, Llc Multi-domain information sharing
US9141785B2 (en) 2011-08-03 2015-09-22 Cloudbyte, Inc. Techniques for providing tenant based storage security and service level assurance in cloud storage environment
US8782351B2 (en) * 2011-10-13 2014-07-15 International Business Machines Corporation Protecting memory of a virtual guest
US8788763B2 (en) 2011-10-13 2014-07-22 International Business Machines Corporation Protecting memory of a virtual guest
US9251039B2 (en) 2012-02-17 2016-02-02 Microsoft Technology Licensing, Llc Remote debugging as a service
US20140007189A1 (en) 2012-06-28 2014-01-02 International Business Machines Corporation Secure access to shared storage resources
CN103729230B (zh) 2012-10-11 2017-04-12 财团法人工业技术研究院 虚拟机系统的内存管理方法和计算机系统
TWI582638B (zh) 2012-11-21 2017-05-11 蘋果公司 電子器件、用於建立及強制實行與一存取控制元件相關聯之一安全性原則之方法及安全元件
US9185114B2 (en) 2012-12-05 2015-11-10 Symantec Corporation Methods and systems for secure storage segmentation based on security context in a virtual environment
CN103368973B (zh) * 2013-07-25 2016-02-17 浪潮(北京)电子信息产业有限公司 一种云操作系统安全体系
CN103778368A (zh) * 2014-01-23 2014-05-07 重庆邮电大学 一种基于系统虚拟化技术的进程安全隔离方法
US9792448B2 (en) 2014-02-28 2017-10-17 Advanced Micro Devices, Inc. Cryptographic protection of information in a processing system
WO2015132753A1 (en) 2014-03-07 2015-09-11 Eco4Cloud S.R.L. Method for memory management in virtual machines, and corresponding system and computer program product
US9483639B2 (en) 2014-03-13 2016-11-01 Unisys Corporation Service partition virtualization system and method having a secure application
US9672058B2 (en) 2014-03-13 2017-06-06 Unisys Corporation Reduced service partition virtualization system and method
CN103885725B (zh) * 2014-03-19 2017-03-15 华存数据信息技术有限公司 一种基于云计算环境的虚拟机访问控制系统及其控制方法
CN105095094B (zh) * 2014-05-06 2018-11-30 华为技术有限公司 内存管理方法和设备
US9792222B2 (en) 2014-06-27 2017-10-17 Intel Corporation Validating virtual address translation by virtual machine monitor utilizing address validation structure to validate tentative guest physical address and aborting based on flag in extended page table requiring an expected guest physical address in the address validation structure
US9553850B2 (en) 2014-06-30 2017-01-24 International Business Machines Corporation Multi-tenant secure separation of data in a cloud-based application
KR101592782B1 (ko) 2014-11-05 2016-02-12 플러스기술주식회사 전가상화 시스템에서 자원을 감시하는 장치 및 방법
US20170364685A1 (en) 2014-11-20 2017-12-21 Interdigital Patent Holdings. Inc. Providing security to computing systems
US20160203014A1 (en) * 2015-01-08 2016-07-14 International Business Machines Corporaiton Managing virtual machines using globally unique persistent virtual machine identifiers
US9870324B2 (en) 2015-04-09 2018-01-16 Vmware, Inc. Isolating guest code and data using multiple nested page tables
US9875047B2 (en) * 2015-05-27 2018-01-23 Red Hat Israel, Ltd. Exit-less host memory locking in a virtualized environment
US10114958B2 (en) 2015-06-16 2018-10-30 Microsoft Technology Licensing, Llc Protected regions
US9942035B2 (en) 2015-08-18 2018-04-10 Intel Corporation Platform migration of secure enclaves
US9558004B1 (en) 2015-10-16 2017-01-31 International Business Machines Corporation Inter-platform management of computing resources
US10019279B2 (en) 2015-12-17 2018-07-10 International Business Machines Corporation Transparent secure interception handling
US10013579B2 (en) 2015-12-23 2018-07-03 Intel Corporation Secure routing of trusted software transactions in unsecure fabric
US10516533B2 (en) 2016-02-05 2019-12-24 Mohammad Mannan Password triggered trusted encryption key deletion
US10152350B2 (en) 2016-07-01 2018-12-11 Intel Corporation Secure domain manager
US10802986B2 (en) * 2016-07-18 2020-10-13 International Business Machines Corporation Marking to indicate memory used to back address translation structures
US10585805B2 (en) 2016-07-29 2020-03-10 Advanced Micro Devices, Inc. Controlling access to pages in a memory in a computing device
US10462219B2 (en) 2016-08-10 2019-10-29 Iboss, Inc. Distributed network security system providing isolation of customer data
US20180260251A1 (en) 2016-08-28 2018-09-13 Vmware, Inc. Use of nested hypervisors by a resource-exchange system to enhance data and operational security and to facilitate component installation
US10528721B2 (en) 2016-10-20 2020-01-07 Intel Corporation Trusted packet processing for multi-domain separatization and security
US9710395B1 (en) 2016-10-26 2017-07-18 International Business Machines Corporation Dynamic address translation table allocation
US10380032B2 (en) 2017-03-09 2019-08-13 Internatinoal Business Machines Corporation Multi-engine address translation facility
KR102257320B1 (ko) * 2017-03-29 2021-05-27 어드밴스드 마이크로 디바이시즈, 인코포레이티드 하이퍼바이저 및 가상 머신 간 메모리 페이지 이행의 모니터링
US10387686B2 (en) * 2017-07-27 2019-08-20 International Business Machines Corporation Hardware based isolation for secure execution of virtual machines
US11687654B2 (en) 2017-09-15 2023-06-27 Intel Corporation Providing isolation in virtualized systems using trust domains
US10671737B2 (en) 2017-11-10 2020-06-02 Intel Corporation Cryptographic memory ownership table for secure public cloud
US10474382B2 (en) 2017-12-01 2019-11-12 Red Hat, Inc. Fast virtual machine storage allocation with encrypted storage
US10552344B2 (en) 2017-12-26 2020-02-04 Intel Corporation Unblock instruction to reverse page block during paging
EP3776288A4 (en) 2018-04-10 2022-01-05 Al Belooshi, Bushra Abbas Mohammed SECURITY SYSTEM AND METHOD OF CRYPTOGRAPHIC KEYS IN THE CLOUD
US11258861B2 (en) * 2018-06-29 2022-02-22 Intel Corporation Secure reporting of platform state information to a remote server
CN109359487B (zh) * 2018-10-09 2022-02-18 湖北文理学院 一种基于硬件隔离的可扩展安全影子存储及标签管理方法
US11461244B2 (en) * 2018-12-20 2022-10-04 Intel Corporation Co-existence of trust domain architecture with multi-key total memory encryption technology in servers
US11068310B2 (en) 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
US11182192B2 (en) 2019-03-08 2021-11-23 International Business Machines Corporation Controlling access to secure storage of a virtual machine
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016536720A (ja) 2013-09-24 2016-11-24 インテル・コーポレーション セキュアなメモリの再パーティショニング
US20190042463A1 (en) 2018-09-28 2019-02-07 Vedvyas Shanbhogue Apparatus and method for secure memory access using trust domains

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SEONGWOOK JIN; ET AL,ARCHITECTURAL SUPPORT FOR SECURE VIRTUALIZATION UNDER A VULNERABLE HYPERVISOR,PROCEEDINGS OF THE 44TH ANNUAL IEEE/ACM INTERNATIONAL SYMPOSIUM ON MICROARCHITECTURE,米国,2011年,PAGE(S):272-283,http://dx.doi.org/10.1145/2155620.2155652
SEONGWOOK JIN; ET AL,H-SVM: HARDWARE-ASSISTED SECURE VIRTUAL MACHINES UNDER A VULNERABLE HYPERVISOR,IEEE TRANSACTIONS ON COMPUTERS,米国,IEEE,2015年10月,VOL:64, NR:10,PAGE(S):2833-2846,http://dx.doi.org/10.1109/TC.2015.2389792

Also Published As

Publication number Publication date
JP2022522766A (ja) 2022-04-20
TWI752412B (zh) 2022-01-11
AU2020233947B2 (en) 2023-03-16
SG11202105420VA (en) 2021-06-29
IL285065B2 (en) 2024-04-01
EP3935510C0 (en) 2024-03-13
AU2020233947A1 (en) 2021-06-17
CN113544655B (zh) 2023-09-01
IL285065B1 (en) 2023-12-01
US20200287902A1 (en) 2020-09-10
MX2021010587A (es) 2021-10-13
US11283800B2 (en) 2022-03-22
WO2020182644A1 (en) 2020-09-17
EP3935510B1 (en) 2024-03-13
IL285065A (en) 2021-09-30
KR20210119466A (ko) 2021-10-05
CN113544655A (zh) 2021-10-22
EP3935510A1 (en) 2022-01-12
ZA202106317B (en) 2022-07-27
CA3132757A1 (en) 2020-09-17
TW202036309A (zh) 2020-10-01
BR112021017783A2 (pt) 2021-11-23

Similar Documents

Publication Publication Date Title
JP7373578B2 (ja) セキュア仮想マシン環境におけるストレージ保護ハードウェアのテスト方法、システム、プログラム
JP7379517B2 (ja) セキュア・インターフェース制御セキュア・ストレージ・ハードウェアのタグ付け方法、システム、プログラム
JP7379516B2 (ja) セキュア・インターフェース制御ストレージのためのホスト仮想アドレス空間使用方法、システム、プログラム
JP7379512B2 (ja) セキュア・ドメインと非セキュア・エンティティとの間のストレージ共用
US11635991B2 (en) Secure storage query and donation
US11182192B2 (en) Controlling access to secure storage of a virtual machine
JP7350868B2 (ja) 複数のセキュリティ・ドメインにわたるセキュア・メモリの共用
JP7393846B2 (ja) セキュア・インターフェイス制御の高レベルのページ管理
JP7410161B2 (ja) ページ変更検出によるセキュアなページング
JP7398472B2 (ja) 割り込みイネーブルのためのセキュア・インターフェース制御ハイレベル命令インターセプト
JP7436495B2 (ja) セキュア・ストレージの分離
JP2022522679A (ja) セキュア・インターフェース・コントロールの通信インターフェース

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220803

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231101

R150 Certificate of patent or registration of utility model

Ref document number: 7379517

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150