TWI453672B

TWI453672B - 虛擬機器管理器系統與方法

Info

Publication number: TWI453672B
Application number: TW098110175A
Authority: TW
Inventors: Paul Broyles; Dalvis Desselle
Original assignee: Hewlett Packard Development Co
Priority date: 2008-04-04
Filing date: 2009-03-27
Publication date: 2014-09-21
Also published as: US8516481B2; US20110029974A1; TW200943187A; WO2009123640A1

Description

虛擬機器管理器系統與方法

發明領域

本揭露大體關於虛擬機器管理與配置。

發明背景

開發虛擬機器最初是用來解決分時昂貴的主機硬體的問題。一虛擬機器(VM)是一底層實體機器硬體之一完全受保護且受隔離之複本；一單一的實體機器能運行多個VM。每個VM使用者都誤以為擁有一專用的實體機器。軟體開發者們可在一VM上編寫和測試程式而不用擔心破壞該實體機器及影響其他使用者。VM使用者們可在各自的實體機器上運行他們的VM實例，該等實體機器經由網路連接到運行虛擬化系統的該實體機器上，允許使用者們接取來自一遠端機器之該實體機器上的應用程式、檔案及硬體。

在該等VM與該實體機器之間有一虛擬機器管理器(VMM)或超管理器。VMM是一控制VM接取底層實體機器以便於該等VM間互不干擾且不干擾該實體機器的軟體層。VM儘管處於一非特權模式，但是不受VMM的干擾而執行，這樣就允許VM直接在實體機器之硬體上執行；這提高了該虛擬化系統的效率。然而，每當一VM試圖執行任何可能影響其他VM或底層實體機器之操作的操作時，VMM將會介入。該VMM安全地仿真該等可能的風險操作，然後把控制權交回給該VM。所以VM可實現近乎於本機執行而不危及該底層實體機器的完整性。

在虛擬化中，安全是一重要關注點。從實體機器到VMM到VM的該鏈中的每一鏈結必須建立一定程度的信賴。一種建立信賴的方法是該VMM之一量測啟動(measured launch)。一量測啟動程序可評估包含該VMM之軟體的全部或部分，並接著將該評估結果儲存在一安全的硬體位置。當該VMM運行時，所儲存的該量測之結果(也稱為證實資料)可被用來驗證該VMM的狀態，並判定該VMM軟體是否在沒有授權的情況下遭改變或被例如一病毒破壞。

發明概要

本文提供虛擬機器管理器(VMM)系統與方法之實施例。在這點上，一系統之一實施例其中包含：一虛擬機器管理器，該虛擬機器管理器包含可直接由一管理者配置的政策設定，其中量測該等政策設定，作為該虛擬機器管理器之一量測啟動的一部分；及至少一個受該虛擬機器管理器管理之虛擬機器。

一方法之一實施例其中包含以下步驟：把政策設定插入一虛擬機器管理器，由一管理者提供該等政策設定；量測該虛擬機器管理器的至少一部分，該受量測部分包括該等政策設定；及儲存該量測的一結果。

包含一用來量測一虛擬機器管理器之程式的一電腦可讀媒體之一實施例其中包含：準備一虛擬機器管理器之要量測的一部分，該部分包含由一管理者配置的政策設定；量測該虛擬機器管理器之該已準備部分；及儲存該量測的一結果。

在檢閱下面圖式及詳細說明之後，本揭露之其他系統、方法、特徵及/或優點對該技藝中具有通常知識者將或可能變得顯而易見。所有這些額外的系統、方法、特徵及/或優點都包括在本說明中並屬於本揭露之範圍。

圖式簡單說明

參考下面的圖式，可更好的理解本揭露的許多層面。圖中的元件不必按照比例繪製。並且，圖中相同的參考數字在該等多個圖中始終表示相應部分。

第1圖顯示了一虛擬化系統之一實施例的一方塊圖。

第2圖顯示了一虛擬化系統之一啟動之一實施例的一流程圖。

第3圖顯示了一VMM量測方法之一實施例的一流程圖。

較佳實施例之詳細說明

本揭露描述了一允許一IT管理者對一虛擬機器管理器(VMM)配置政策的大體框架；將詳細討論幾個示範的實施例。例如，一VMM的管理者可能想不准或限制一VM接取遠端機器(一使用者於其上執行該VM)的硬體或軟體。諸如定義一VM和一遠端機器之間的關係的規則稱為政策或政策設定。本揭露之實施例允許按照由一IT管理者所定義的來量測一VMM之該等政策設定，作為該VMM之一量測啟動的一部分，以便於一使用者可知道是否該VMM或它的政策設定在未授權的情況下已改變或破壞。

依據本揭露之實施例，一VMM包含一在VMM內預留著用來儲存政策之區域。一VMM安裝或配置公用程式可提供一使用者介面(UI)來使得一管理者能夠把想要的政策設定直接設置到該VMM中。政策設定可在安裝到碟片或離線時進行；該公用程式本身可運用該VMM影像。任何適當的把該等政策設定嵌入到該VMM的方法都可使用。由於該等政策設定是一VMM的一部分，出於安全考慮，該等政策設定可與該VMM的其餘部分一起來量測。所以，VMM政策設定是靈活及可配置的，且除該VMM之外IT管理者還可保護該等VMM政策之安全。

第1圖顯示了一虛擬化系統100之實施例。實體機器103包含電腦硬體，諸如一個人電腦或一伺服器或任何其他適當的電腦類型。實體機器103執行一作業系統(OS)；該OS可為任何適當的作業系統，諸如，例如Microsoft Windows、Unix或Linux。該VMM 101在實體機器103上運行以協調VM 104a與VM 104b的執行。雖然第1圖顯示了兩個VM，但一單一VMM可支援任何適當數目個VM，在該等多個VM對話中VMM充當一仲裁者，並分配實體機器103的系統資源(包括一個或多個記憶體、位址空間、輸入/輸出頻寬和處理器運行時間)給每個VM對話。VMM 101位在實體機器103上。每個VM 104a-b運行一作業系統105a-b；每個VM可按管理者所希望的運行一不同的作業系統。作業系統105a-b支援應用程式106a-b；這些應用程式可以是供使用者遠端使用的任何適當的應用程式軟體，一個非限制性例子是Microsoft Office。儲存位置107是實體機器103中安全儲存由量測啟動所產生的證實資料的一硬體位置；儲存位置107可包含一可信賴平台模組(TPM)或任何其他適當的儲存體。下面來進一步地討論TPM。政策設定102由一IT管理者直接設置到VMM 101中，藉此該等政策可與該VMM的其餘部分一起由該量測啟動流程評估，使得任何未經授權的對該等政策設定102的改變能夠被檢測。

一可信賴平台模組(TPM)是一儲存安全資訊的實體晶片；該TPM規格，例如TPM 1.1及1.2是可信賴運算組(TCG)的一專案。https：//www.trustedcomputinggroup.org 。一TPM是一允許密封儲存證實資料的硬體裝置。該量測流程可總括一系統之硬體及/或軟體以產生一近乎不可偽造的散列鍵摘要(summary)；這個鍵可被用作證實資料用於與遠端機器之可信賴互動。該證實資料允許第三方(諸如一運行連結到一VMM上的一VM的遠端機器)來驗証該VMM之軟體在執行期間沒有被改變或破壞。

根據該TPM 1.1規格，一標準的PC平台裝配有一TPM晶片。該TPM晶片作為一硬體鍵儲存體，儲存該平台之量值，諸如軟體部分之散列。由於在虛擬化系統中軟體的總量可能會很大，所以量測工具可能決定系統的哪些部分要量測。使用該等已儲存之量值來產生關於該軟體鏈的簽署聲明(signed statement)。該TPM 1.2規格使得啟動並量測來自一不可信賴的環境中之一可信賴子環境變得可能。TPM 1.2還考慮到較大的軟體部分之量測。英特爾之基於TPM的安全框架以前稱為LaGrande技術，而目前稱為可信賴執行技術或TXT(http：//www.intel.com/technology/security/)。許多英特爾酷睿雙核CPU支援TXT。然而，要TXT可操作需要晶片組支援。AMD用其安全執行模式技術(SEM)以它的一些晶片組也支援TPM 1.1和1.2。用於TPM 1.2的微軟框架稱為下一代安全運算基礎或NGSCB(以前稱為Palladium)；NGSCB針對使用一TPM 1.2晶片、CPU、晶片組及軟體來提供在其中可信賴應用程式可自該Windows作業系統中來開發及啟動之一環境的一框架。英特爾的TXT與AMD的SEM是基於硬體的解決方案，而該NGSCB框架是基於軟體的。然而，NGSCB並不包含在Windows Vista中。取而代之的是，Vista用到了該TPM晶片之功能的一子集，而非TXT和SEM。對前述技術之描述企圖達到說明之目的；本揭露之實施例可與任何上述技術或任何適於量測及證實一虛擬化系統之其他適當的技術一起使用。

第2圖顯示了使用一量測啟動的一虛擬化系統(諸如系統100)的一啟動流程200之一實施例的一流程圖。在方塊201中，實體機器103啟動。在方塊202中，該實體機器103接著開始該VMM的該量測流程以檢查該VMM 101的完整性。當該量測流程完成且該VMM的完整性受驗證之後，在方塊203中，該實體機器103初始化並把控制權交給該VMM。量測在VMM 101啟動前發生，以保證該實體機器103 不把控制權交給一已遭破壞的VMM。在方塊204中，在該實體機器103上運行的作業系統(OS)接著被載入。該OS可基於例如Linux、Windows、Unix或任何其他適當的作業系統。一旦該量測流程完成且該OS被載入，在方塊205中，該VMM 101初始化並開始執行VM 104。在一啟動的其他實施例中，在實體機器103上運行之OS可在該VMM 101受量測及初始化之前被載入。

第3圖更詳細地顯示了來自方塊202的該量測流程300之一實施例。在方塊301中，實體機器103準備VMM 101中要量測之部分。該VMM 101中要量測之部分包含政策設定102。可量測該VMM 101的一些或全部。在方塊302中，該實體機器103保護該VMM 101中正受量測之部分不受直接記憶體存取，以防止該VMM 101在該量測流程中遭破壞。在方塊303中，該實體機器103接著量測VMM 101之軟體的指定部分。該量測流程產生證實該VMM 101之狀態的證實資料；此證實資料可以是例如已受量測之該軟體的一散列。在方塊304中，該證實資料儲存在該實體機器之該硬體的一安全的儲存位置107中，在一些實施例中，該安全的儲存位置107可以是一可信賴平台模組。

管理者可使用任何適當的方法來把政策設定102設置到VMM 101中。一些實施例可使用一遠端管理系統，諸如DASH(桌上型與行動系統硬體架構，http：//www.dmtf.org/standards/mgmt/dash/)，其是分散式管理工作組(DMTF)公司之一專案；任何其他適當的專屬或非專屬軟體應用程式可用來把政策設定102設置到VMM 101中。

有很多的政策設定102管理者想要設置於VMM 101中和量測它們。該等政策設定102中的一些可能關於遠端機器上的硬體裝置控制，諸如虛擬地去能USB埠、軟碟機或CD-ROM，以防止未經授權的資料複製，不允許任何添加的網路介面卡(NIC)，甚至在一些受控制配置中的主NIC。如果該VMM 101的某一量測改變，該等政策設定102也可以不允許該VMM 101的啟動；這是一啟動政策型控制。如果該BIOS版本與所指定的不同，該等政策設定102可以不允許該VMM 101啟動；這也是啟動政策型控制，但把在該VMM 101之外的元件引進到該政策中。該防毒定義檔案可以是該等政策設定102中的一部分。以上是政策設定的非限制性範例，可在依據本揭露之實施例的該VMM中設置。

為了說明和描述的目的，已經呈現了本揭露之實施例的前述揭露。並不企圖是詳盡無遺的或限制本揭露於所揭露之精確形式中。根據上面的揭露，其中說明的該等實施例的許多變動及修改對本技藝中具有通常知識者將變得很明顯。要注意，先前提到的範例並不是限制性的。可包括許多上述特徵的系統與方法的額外的實施例也被考量。透過對下面圖式和詳細說明的檢閱，本揭露的其他系統、方法、特徵和優點對本技藝中具有通常知識者將或會變得很明顯。所有這些額外的系統、方法、特徵和優點都包括在這個說明中並在本揭露的範圍內。

本揭露之實施例可以以硬體、軟體、韌體或其等之組合來實施。在各種實施例中，系統元件以儲存在記憶體中並由一適當的指令執行系統執行的軟體或韌體來實施。如果以硬體實施，如在一些實施例中，系統元件可用下面多個該技藝中習知的技術中的任何一個或其組合來實施：具有用於依據資料信號實施邏輯功能之邏輯閘之一離散邏輯電路、具有適當組合邏輯閘的一特定應用積體電路(ASIC)、一可規劃閘陣列(PGA)、一可現場規劃閘陣列(FPGA)等。

軟體元件可包含用於實施邏輯功能的可執行指令之一有序列表，可將其嵌入任何電腦可讀媒體中以被一指令執行系統、設備或裝置(諸如一基於電腦的系統、內含處理器的系統或其他能自該指令執行系統、設備或裝置提取該等指令並執行該等指令的系統)使用或結合其等來使用。另外，本揭露的範圍包括：在以硬體或軟體配置媒體來實施的邏輯元件中實現一或多個實施例的功能。

其中諸如“能夠”、“可能”、“可以”、“可”之條件用語，除非特別說明，不然在使用的脈絡內來理解，條件用語通常是想要表達某些實施例可包括但不要求某些特徵、元件及/或步驟。因此，這些條件用語通常不是要暗示一或多個實施例以任何方式需要特徵、元件及/或步驟，或者一或多個實施例必須包括用以在有或沒有使用者的輸入或提示的情況下決定這些特徵、元件及/或步驟是否被包括或是否要在任何特定的實施例中執行的邏輯元件。

流程圖中的任何流程說明或方塊應理解為代表模組、區段或程式碼之部分，該程式碼包括一或多個用以實施流程中的特定邏輯功能或步驟的可執行指令，且可選擇的實施被包括在本揭露的較佳實施例之範圍當中，其中，正如本揭露所屬之技藝中具有通常知識者可理解的，該等功能可不按照所顯示或所討論的順序來執行，視所涉及之功能性而定，包括實質上同時地或以相反的順序來執行。

100‧‧‧虛擬化系統

101‧‧‧虛擬機器管理器(VMM)

102‧‧‧政策設定

103‧‧‧實體機器

104a-b‧‧‧虛擬機器(VM)

105a-b‧‧‧作業系統

106a-b‧‧‧應用程式

107‧‧‧儲存位置

200‧‧‧啟動流程

201~205‧‧‧方塊

300‧‧‧量測流程

301~304‧‧‧方塊