TWI801714B - 用於安全儲存隔離之電腦實施方法、系統及程式產品 - Google Patents

用於安全儲存隔離之電腦實施方法、系統及程式產品 Download PDF

Info

Publication number
TWI801714B
TWI801714B TW109104167A TW109104167A TWI801714B TW I801714 B TWI801714 B TW I801714B TW 109104167 A TW109104167 A TW 109104167A TW 109104167 A TW109104167 A TW 109104167A TW I801714 B TWI801714 B TW I801714B
Authority
TW
Taiwan
Prior art keywords
page
secure
security
access
response
Prior art date
Application number
TW109104167A
Other languages
English (en)
Other versions
TW202038104A (zh
Inventor
強納生 D 布萊德貝瑞
麗莎 克蘭頓 海勒
尤茲 貝奇爾
法迪 Y 布撒巴
Original Assignee
美商萬國商業機器公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商萬國商業機器公司 filed Critical 美商萬國商業機器公司
Publication of TW202038104A publication Critical patent/TW202038104A/zh
Application granted granted Critical
Publication of TWI801714B publication Critical patent/TWI801714B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Circuits Of Receivers In General (AREA)

Abstract

根據實例之一種電腦實施方法包括藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之一記憶體中之一頁面的一請求。該方法進一步包括回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查。該方法進一步包括回應於判定該請求者為一安全請求者,執行該授權檢查。

Description

用於安全儲存隔離之電腦實施方法、系統及程式產品
本發明大體上係關於電腦技術,且更具體而言,係關於安全儲存隔離。
雲端運算及雲端儲存向使用者提供了在第三方資料中心中儲存及處理其資料之能力。雲端運算促進能夠快速且容易地為客戶佈建虛擬機器(VM),而不需要客戶購買硬體或為實體伺服器提供佔用面積。客戶可根據改變之客戶偏好或要求來容易地擴展或收縮VM。通常,雲端運算提供者佈建VM,其實體上駐留於提供者之資料中心處的伺服器上。客戶常常擔心VM中之資料的安全性,此尤其係因為運算提供者常常在同一伺服器上儲存多於一個客戶之資料。客戶可能需要其自身程式碼/資料與雲端運算提供者之程式碼/資料之間以及其自身程式碼/資料與在提供者之站台處執行的其他VM之自身程式碼/資料之間的安全性。此外,客戶可能希望提供者之管理員提供安全性以及希望避免由在機器上執行之其他程式碼可能造成的安全漏洞。
為了處置此等敏感情形,雲端服務提供者可實施安全控制以確保適當的資料隔離及邏輯儲存分隔。虛擬化在實施雲端基礎架構中之廣泛使用為雲端服務之客戶帶來獨特的安全性問題,此係因為虛擬化更改 作業系統(OS)與基礎硬體(無論為運算、儲存或甚至網路連接硬體)之間的關係。此引入虛擬化作為額外層,其自身必須經適當地組態、管理及保證安全。
一般而言,在主機超管理器之控制下作為客體執行的VM依賴於彼超管理器為彼客體透明地提供虛擬化服務。此等服務包括記憶體管理、指令仿真及中斷處理。
在記憶體管理之狀況下,VM可將其資料自磁碟移動(分頁移入)以駐留於記憶體中,且VM亦可將其資料移回(分頁移出)至磁碟。在頁面駐留於記憶體中時,VM(客體)使用動態位址轉譯(DAT)以將記憶體中之頁面自客體虛擬位址映射至客體絕對位址。此外,主機超管理器對於記憶體中之客體頁面具有其自身的DAT映射(自主機虛擬位址至主機絕對位址),且其可獨立地且對客體透明地將客體頁面分頁移入及移出記憶體。超管理器經由主機DAT表在兩個分開的客體VM之間提供記憶體隔離或客體記憶體共用。主機亦能夠在必要時代表客體存取客體記憶體以模擬客體操作。
根據本文中所描述之一或多個實例,一種電腦實施方法包括藉由運算系統之安全介面控制件接收請求者的存取運算系統之記憶體中之頁面的請求。該方法進一步包括回應於判定請求者為非安全請求者且回應於安全儲存位元經設定,禁止存取頁面而無需執行授權檢查。該方法進一步包括回應於判定請求者為安全請求者,執行授權檢查。
根據一或多個實例,授權檢查包括驗證頁面屬於試圖存取頁面之安全網域的檢查。根據一或多個實例,授權檢查包括驗證在安全頁 面駐留於記憶體中時由安全頁面之非安全實體進行之映射的檢查。根據一或多個實例,該方法包括回應於來自不受信任實體之請求,將頁面標記為安全頁面。根據一或多個實例,該方法包括回應於將頁面標記為安全頁面,防止任何不受信任實體存取安全頁面。根據一或多個實例,該方法包括在將頁面標記為安全頁面之前且回應於來自不受信任實體之請求,藉由不受信任實體發出匯入命令以準備頁面之分頁移入。根據一或多個實例,安全介面控制件包括韌體、硬體或韌體與硬體之組合;不受信任實體包括超管理器;且安全請求者包括虛擬機器,其為安全網域中由超管理器代管之安全客體。根據一或多個實例,該方法包括回應於授權檢查判定安全請求者經授權,授予請求者對頁面之存取。
根據本文中所描述之一或多個實例,一種電腦實施方法包括藉由運算系統之安全介面控制件接收請求者的存取運算系統之記憶體中之頁面的請求。該方法進一步包括回應於判定請求者為非安全請求者且回應於安全儲存位元經設定,禁止存取頁面而無需執行授權檢查。該方法進一步包括回應於判定請求者為安全請求者,執行授權檢查。
根據一或多個實例,授權檢查包括驗證頁面屬於試圖存取頁面之安全網域的檢查,及驗證在頁面駐留於記憶體中時非安全實體未改變頁面之主機映射的檢查。
本發明之其他實施例在電腦系統及電腦程式產品中實施上述方法之特徵。
所揭示技術之優點包括在各種實體或客體機器之儲存間提供隔離。本發明之一或多個實施例提供支援額外安全性之兩種分開機制。對於第一機制,在代表安全客體(並非非安全客體)進行存取時,硬體執行 精細粒度檢查。儘管此第一機制可能已用於所有存取以避免非安全客體執行此等精細粒度安全性檢查所需之額外負荷,但亦提供第二機制。第二機制利用分開的較粗粒度指示(安全儲存位元),其標示安全儲存器,因此硬體可防止非安全實體存取彼儲存器。此外,頁面安全之分開指示允許I/O基礎架構依賴於此相同的單一指示,而非需要其自身的防止存取安全(經解密)客體頁面之方法。因此,使用兩種分開安全機制藉由提供必要隔離而不會顯著增加由非安全客體經歷之處理循環來改良電腦系統之功能。
額外特徵及優點經由本發明之技術實現。本文中詳細描述本發明之其他實施例及態樣且將其視為本發明之一部分。為更好地理解具有該等優點及特徵的本發明,參考描述及圖式。
10:雲端運算節點
11:硬體/韌體層
12:超管理器
13:系統
15:VM
15A:VM
15B:VM
15C:VM
15D:VM
15N:VM
20A:用戶端裝置
20B:用戶端裝置
20C:用戶端裝置
20D:用戶端裝置
20E:用戶端裝置
50:雲端運算環境
54A:個人數位助理(PDA)或蜂巢式電話/運算裝置
54B:桌上型電腦/運算裝置
54C:膝上型電腦/運算裝置
54N:汽車電腦系統/運算裝置
60:硬體及軟體層
61:大型電腦
62:基於精簡指令集電腦(RISC)架構之伺服器
63:伺服器
64:刀鋒伺服器
65:儲存裝置
66:網路及網路連接組件
67:網路應用程式伺服器軟體
68:資料庫軟體
70:虛擬化層
71:虛擬伺服器
72:虛擬儲存器
73:虛擬網路
74:虛擬應用程式及作業系統
75:虛擬用戶端
80:管理層
81:資源佈建
82:計量及定價
83:使用者入口網站
84:服務等級管理
85:服務等級協議(SLA)規劃及實現
90:工作負載層
91:地圖測繪及導航
92:軟體開發及生命週期管理
93:虛擬教室教育遞送
94:資料分析處理
95:異動處理
96:安全儲存隔離
100:區域安全性表
110:主機絕對位址
120:安全網域ID
130:UV位元
140:停用位址比較(DA)位元
150:共用(SH)位元
160:主機虛擬位址
165:網路
202:虛擬位址空間
204:虛擬位址空間
206:絕對位址空間
208:位址空間控制元素(ASCE)A
210:ASCE B
212a1:虛擬頁面A1.V
212a2:虛擬頁面A2.V
212a3:虛擬頁面A3.V
214b1:虛擬頁面B1.V
214b2:虛擬頁面B2.V
220a1:絕對頁面A1.A
220a2:絕對頁面A2.A
220a3:絕對頁面A3.A
222b1:絕對頁面B1.A
222b2:絕對頁面B2.A
230:區段
232a:頁表
232b:頁表
234:表
236:表
302:客體A虛擬位址空間A
304:客體ASCE(GASCE)A
306:客體B虛擬位址空間B
308:GASCEB
310a1:虛擬頁面A1.GV
310a2:虛擬頁面A2.GV
310a3:虛擬頁面A3.GV
320b1:虛擬頁面B1.GV
320b2:虛擬頁面B2.GV
325:共用主機(超管理器)虛擬位址空間
330:主機絕對位址空間
340a1:客體絕對頁面A1.HV
340a2:客體絕對頁A2.HV/主機虛擬位址
340a3:客體絕對頁A3.HV/主機虛擬位址
350:主機ASCE(HASCE)
360b1:客體絕對頁面B1.HV/主機虛擬位址
360b2:客體絕對頁面B2.HV/主機虛擬位址
370a1:主機絕對頁面A1.HV
370a3:主機絕對頁面A3.HV
370b1:主機虛擬位址B1.HV
380:主機絕對頁面AB2.HA
490a:主機絕對位址A2.HA
490b:主機絕對位址B2.HA
500:用於匯入操作之程序流程
600:用於執行匯入操作之程序流程
700:程序流程
800:程序流程
900:程序流程
1000:程序流程
1401:處理器
1401a:中央處理單元(CPU)
1401b:中央處理單元(CPU)
1401c:中央處理單元(CPU)
1402:系統匯流排
1403:系統記憶體
1404:唯讀記憶體(ROM)
1405:隨機存取記憶體(RAM)
1407:硬碟
1408:軟體
1409:資料
1420:介面配接器
1421:鍵盤
1422:滑鼠
1423:揚聲器
1424:麥克風
1430:顯示配接器
1431:顯示器
1432:GUI
1441:通信配接器
1450:網路
1451:伺服器
1452:資料庫
在本說明書之結尾處的申請專利範圍中特別地指出且清楚地主張本文中所描述之排他性權利的細節。本發明之實施例的前述以及其他特徵及優點自結合隨附圖式進行之以下詳細描述顯而易見,在隨附圖式中:圖1描繪根據本發明之一或多個實施例的區域安全性表;圖2描繪根據本發明之一或多個實施例的用於執行DAT之虛擬及絕對位址空間;圖3描繪根據本發明之一或多個實施例的支援在超管理器下執行之虛擬機器(VM)的巢套之三部分DAT;圖4描繪根據本發明之一或多個實施例的安全客體儲存之映射;圖5描繪根據本發明之一或多個實施例的匯入操作之程序流 程;圖6描繪根據本發明之一或多個實施例的匯入操作之程序流程;圖7描繪根據本發明之一或多個實施例的藉由安全介面控制件進行之存取標示的程序流程;圖8描繪根據本發明之一或多個實施例的藉由安全介面控制件進行之支援安全及非安全存取的轉譯之程序流程;圖9描繪根據本發明之一或多個實施例的藉由安全介面控制件進行之具有安全儲存保護的DAT之程序流程;圖10描繪根據本發明之一或多個實施例的使用安全介面控制件之安全執行的程序流程;圖11描繪根據本發明之一或多個實施例的雲端運算環境;圖12描繪根據本發明之一或多個實施例的抽象模型層;圖13描繪根據本發明之一或多個實施例的系統;及圖14描繪根據本發明之一或多個實施例的處理系統。
本文中所描繪之圖式為說明性的。在不背離本發明之精神的情況下,所描述之圖式或操作可存在許多變化。舉例而言,可以不同次序執行動作或可添加、刪除或修改動作。又,術語「耦接」及其變化描述在兩個元件之間具有通信路徑且並不暗示元件之間的直接連接且其間不具有插入元件/連接。所有此等變體視為本說明書之一部分。
本文中所呈現之技術在各種實體或客體虛擬機器(安全及非安全兩者)之儲存間提供保證隔離,而不依賴於超管理器來提供隔離。另 外,本發明技術防止超管理器存取客體儲存器(在解密時)。此係藉由實施安全儲存位元來實現,使得非安全實體不會經歷在安全實體之間提供安全性所需的額外負荷。
在主機超管理器之控制下作為客體執行的虛擬機器(VM)依賴於彼超管理器為彼客體透明地提供虛擬化服務。此等服務可應用於安全實體與另一不受信任實體之間的任何介面,其在傳統上允許此另一實體存取安全資源。如先前所提及,此等服務可包括但不限於記憶體管理、指令仿真及中斷處理。舉例而言,對於中斷及例外注入,超管理器通常讀取及/或寫入至客體之前置詞區(prefix area)(低核心)中。如本文中所使用之術語「虛擬機器」或「VM」係指實體機器(運算裝置、處理器等)及其處理環境(作業系統(OS)、軟體資源等)之邏輯表示。VM維持為在基礎主機機器(實體處理器或處理器集合)上執行之軟體。自使用者或軟體資源之視角,VM呈現為其自身的獨立實體機器。如本文中所使用之術語「超管理器」及「VM監視器(VMM)」係指管理及准許多個VM在同一主機機器上使用多個(且有時不同的)OS執行的處理環境或平台服務。應瞭解,部署VM包括VM之安裝程序及VM之起動(或啟動)程序。在另一實例中,部署VM包括VM之起動(或啟動)程序(例如,在VM先前已安裝或已存在之狀況下)。
為了促進及支援安全客體,存在技術挑戰:超管理器與安全客體之間需要額外安全性而不依賴於超管理器,使得超管理器無法存取來自VM的資料且因此無法以上文所描述之方式提供服務。
本文中所描述之安全執行提供保證安全儲存與非安全儲存之間以及屬於不同安全使用者之安全儲存之間的隔離的硬體機構。對於安 全客體,在「不受信任」之非安全超管理器與安全客體之間提供額外安全性。為進行此操作,超管理器通常代表客體執行之許多功能需要併入至機器中。本文中描述新的安全介面控制件,在本文中亦被稱作「UV」,以在超管理器與安全客體之間提供安全介面。術語安全介面控制件與UV在本文中可互換使用。安全介面控制件與硬體協作以提供此額外安全性。此外,較低層級超管理器可為此不受信任超管理器提供虛擬化,且若此較低層級超管理器以受信任程式碼實施,則其亦可為安全介面控制件之部分。
當由亦可存取服務呼叫者之資料及狀態的分開經授權程式提供各種服務時,亦可應用此機制。在一種狀況下,此分開程式可為在另一種狀況下經由使用監督呼叫介面提供監督功能之監督程式。
在一個實例中,安全介面控制件實施於內部、安全且受信任的硬體及/或韌體中。對於安全客體或實體,安全介面控制件提供安全環境之初始化及維護以及此等安全實體之分派在硬體上的協調。在安全客體主動地使用資料且資料駐留於主機儲存器中時,其「以純文字(in the clear)」保存在安全儲存器中。安全客體儲存器可由彼單一安全客體存取,該安全客體嚴格地由硬體執行。亦即,硬體防止任何非安全實體(包括超管理器或其他非安全客體)或不同安全客體存取彼資料。在此實例中,安全介面控制件作為韌體之最低層級的受信任部分執行。最低層級或微碼實際上為硬體之擴充且用以實施例如在來自IBM之zAarchitecture®中定義的複雜指令及功能。微碼可存取儲存器之所有部分,該儲存器在安全執行之內容脈絡中包括其自身的安全UV儲存器、非安全超管理器儲存器、安全客體儲存器及共用儲存器。此允許其提供安全客體或支援彼客體之超管理器所需的任何功能。安全介面控制件亦可直接存取硬體,此允許 硬體在由安全介面控制件建立之條件的控制下高效地提供安全性檢查。
根據本發明之一或多個實施例,在硬體中提供安全儲存位元以標記安全頁面。當此位元經設定時,硬體防止任何非安全客體或超管理器存取此頁面。此外,每一安全或共用頁面皆註冊於區域安全性表中且用安全客體網域識別碼(ID)來標示。當頁面非安全時,將其如此標記於區域安全性表中。對於每個分割區或區域,皆由安全介面控制件維持此區域安全性表。每個主機絕對頁面皆存在一個項目,其由硬體在由安全實體進行之任何DAT轉譯中使用以驗證頁面僅由安全客體或擁有其的實體存取。
安全儲存位元提供安全儲存與非安全儲存之間的較粗粒度隔離,以便減少非安全實體之額外負荷。由於此位元之位置及較簡單的單位元檢查,非安全轉譯程序之額外負荷微不足道。安全客體網域ID以較高效能成本提供不同安全實體之間的較精細粒度隔離。域ID之大小使得其對於此檢查與安全儲存位元駐留於同一位置中為不切實際的。此允許更靈活地指派此ID且允許進一步改良安全性之其他識別資訊亦與此主機絕對頁面相關聯。對於真實系統,暗示依賴於硬體中之較大安全實體ID檢查可導致現有非安全客體之效能效應受到抑制。此外,混合非安全客體與安全客體之用例與安全介面控制技術之引入有關,從而產生此分層保護方案之其他優點。
根據本發明之一或多個實施例,軟體使用UV呼叫(UVC)指令以請求安全介面控制件執行特定動作。舉例而言,UVC指令可由超管理器使用以初始化安全介面控制件,建立安全客體網域(例如,安全客體組態)且在彼安全組態內建立虛擬CPU。其亦可用以匯入(解密且指派給安全客體網域)及匯出(加密且允許主機存取)安全客體頁面,作為超管理器 分頁移入或分頁移出操作之部分。此外,安全客體能夠定義與超管理器共用之儲存器,使安全儲存器共用且使共用儲存器安全。
為提供安全性,當超管理器透明地分頁移入及分頁移出安全客體資料時,與硬體一起工作之安全介面控制件提供及保證資料之解密及加密。為實現此,當分頁移入及分頁移出客體安全資料時,需要UV以發出新的UVC。基於由安全介面控制件在此等新UVC期間設置之控制,硬體將保證此等UVC實際上由超管理器發出。
在此新的安全環境中,每當超管理器分頁移出安全頁面時,需要其發出新的自安全儲存器轉換(匯出)UVC。回應於此匯出UVC,UV或安全介面控制件將1)指示頁面由UV「鎖定」,2)對頁面加密,3)將頁面設定為非安全且4)重設UV鎖定。一旦匯出UVC完成,超管理器現便可分頁移出經加密之客體頁面。
此外,每當超管理器分頁移入安全頁面時,其必須發出新的至安全儲存器轉換(匯入)UVC。回應於此匯入UVC,UV或安全介面控制件將1)在硬體中將頁面標記為安全,2)指示頁面由UV「鎖定」,3)對頁面解密,4)向特定安全客體網域設定授權且5)重設UV鎖定。每當安全實體進行存取時,硬體在轉譯期間執行關於彼頁面之授權檢查。此等額外安全性檢查包括1)驗證頁面實際上確實屬於正試圖存取其之安全客體網域的檢查,及2)確保在此頁面已駐留於客體記憶體中時超管理器未改變此頁面之主機映射的檢查。一旦頁面標記為安全,硬體便防止超管理器或非安全客體VM存取任何安全頁面。額外轉譯步驟防止另一安全VM進行存取且防止超管理器進行重新映射。
頁面安全(在上文之匯入UVC的步驟1中設定)之分開指示避 免對非安全客體之彼等額外安全性檢查的額外負荷。此等額外檢查僅由硬體在代表安全客體進行存取時執行。此外,頁面安全之分開指示允許I/O基礎架構依賴於此相同的單一指示,而非需要其自身的防止存取安全(經解密)客體頁面之方法。
本文中所呈現之技術在各種實體或客體虛擬機器(安全及非安全兩者)之儲存間提供保證隔離,而不依賴於超管理器來提供隔離。另外,本發明技術防止超管理器存取客體儲存器(在解密時)。此係藉由實施安全儲存位元來實現,使得非安全實體不會經歷在安全實體之間提供安全性所需的額外負荷。
本發明之一或多個實施例提供優於在各種實體或客體機器之儲存間提供隔離的現有系統之技術改良。在現有系統中,此隔離由超管理器提供,此具有如下缺點:若該超管理器被破解,則客體機器亦可被破解。本發明之一或多個實施例提供支援額外安全性之兩種分開機制。對於第一機制,在代表安全客體(並非非安全客體)進行存取時,硬體執行精細粒度檢查。儘管此第一機制可能已用於所有存取以避免非安全客體執行此等精細粒度安全性檢查所需之額外負荷,但亦提供第二機制。第二機制利用分開的較粗粒度指示(安全儲存位元),其標示安全儲存器,因此硬體可防止非安全實體存取彼儲存器。此外,頁面安全之分開指示允許I/O基礎架構依賴於此相同的單一指示,而非需要其自身的防止存取安全(經解密)客體頁面之方法。因此,使用兩種分開安全機制藉由提供必要隔離而不會顯著增加由非安全客體經歷之處理循環來改良電腦系統之功能。
現轉向圖1,總體上展示根據本發明之一或多個實施例的區域安全性表100。圖1中所展示之區域安全性表100由安全介面控制件維 持,且由安全介面控制件及硬體使用以保證對由安全實體存取之任何頁面的安全存取。區域安全性表100藉由主機絕對位址110編索引。亦即,對於主機絕對儲存器之每一頁面,皆存在一個項目。每一項目包括用以驗證該項目屬於進行存取之安全實體的資訊。
另外,如圖1中所展示,區域安全性表100包括安全網域ID120(識別與此頁面相關聯之安全網域);UV位元130(指示此頁面被供給安全介面控制件且由安全介面控制件擁有);停用位址比較(DA)位元140(用以在某些情形中,諸如在定義為主機絕對之安全介面控制件頁面不具有相關聯之主機虛擬位址時,停用主機位址對比較);共用(SH)位元150(指示與非安全超管理器共用頁面);及主機虛擬位址160(指示針對此主機絕對位址註冊之主機虛擬位址,其被稱作主機位址對)。應注意,主機位址對指示主機絕對位址及相關聯之所註冊主機虛擬位址。主機位址對表示此頁面(一旦由超管理器匯入)之映射,且比較保證在彼頁面正由客體使用時主機不重新映射該頁面。
動態位址轉譯(DAT)用以將虛擬儲存器映射至真實儲存器。當客體VM在超管理器之控制下作為可分頁客體執行時,客體使用DAT來管理駐留於其記憶體中之頁面。此外,主機在客體頁面駐留於其記憶體中時獨立地使用DAT來管理彼等頁面(連同其自身頁面)。超管理器使用DAT來提供不同VM之間的儲存器隔離及/或共用以及防止對超管理器儲存器之客體存取。當客體正以非安全模式執行時,超管理器可存取所有客體儲存器。
DAT使得能夠隔離一個應用程式與另一應用程式,同時仍准許該等應用程式共用共同資源。又,DAT准許實施VM,其可用於設計 及測試OS之新版本連同並行處理應用程式。虛擬位址識別虛擬儲存器中之位置。位址空間為虛擬位址之連續序列連同特定變換參數(包括DAT表),其允許每一虛擬位址轉譯成相關聯之絕對位址,該絕對位址藉由儲存器中之位元組位置識別彼位址。
DAT使用多表查找以將虛擬位址轉譯成相關聯之絕對位址。此表結構通常由儲存管理器定義及維持。此儲存管理器藉由分頁移出一個頁面例如以調入另一頁面來在多個程式之間透明地共用絕對儲存器。舉例而言,當頁面被分頁移出時,儲存管理器將在相關聯之頁表中設定無效位元。當程式試圖存取被分頁移出之頁面時,硬體將向儲存管理器呈現程式中斷,其常常被稱作頁面錯誤。作為回應,儲存管理器將分頁移入所請求頁面且重設無效位元。此皆透明於程式而進行,且允許儲存管理器虛擬化儲存器並在各種不同使用者間共用該儲存器。
當虛擬位址由CPU使用以存取主儲存器時,其首先藉助於DAT轉換成真實位址且接著藉助於前置詞轉換成絕對位址。用於特定位址空間之最高層級表的指定項(起點及長度)被稱作位址空間控制元素(ASCE)且定義相關聯之位址空間。
現轉向圖2,總體上展示根據本發明之一或多個實施例的用於執行DAT之實例虛擬位址空間202及204以及絕對位址空間206。在圖2中所展示之實例中,存在兩個虛擬位址空間:虛擬位址空間202(由位址空間控制元素(ASCE)A 208定義)及虛擬位址空間204(由ASCE B 210定義)。虛擬頁面A1.V 212a1、A2.V 212a2及A3.V 212a3藉由儲存管理器使用ASCE A 208在多表(區段230及頁表232a、232b)查找中映射至絕對頁面A1.A 220a1、A2.A 220a2及A3.A 220a3。類似地,虛擬頁面B1.V 214b1 及B2.V 214b2係使用ASCE B 210分別在兩表234及236查找中映射至絕對頁面B1.A 222b1及B2.A 222b2。
現轉向圖3,總體上展示根據本發明之一或多個實施例的用以支援在超管理器下執行之VM的巢套之多部分DAT轉譯之實例。在圖3中所展示之實例中,客體A虛擬位址空間A 302(由客體ASCE(GASCE)A 304定義)及客體B虛擬位址空間B 306(由GASCEB 308定義)兩者駐留於共用主機(超管理器)虛擬位址空間325中。如所展示,屬於客體A之虛擬頁面A1.GV 310a1、A2.GV 310a2及A3.GV 310a3分別藉由客體A儲存管理器使用GASCEA 304映射至客體絕對頁面A1.HV 340a1、A2.HV 340a2及A3.HV 340a3;屬於客體B之虛擬頁面B1.GV 320b1及B2.GV 320b2分別獨立地藉由客體B儲存管理器使用GASCEB 308映射至客體絕對頁面B1.HV 360b1及B2.HV 360b2。在此實例中,此等客體絕對頁面直接映射至共用主機虛擬位址空間325中,且隨後經歷至主機絕對位址空間330之額外主機DAT轉譯映射。如所展示,主機虛擬位址A1.HV 340a1、A3.HV 340a3及B1.HV 360b1藉由主機儲存管理器使用主機ASCE(HASCE)350映射至A1.HA 370a1、A3.HA 370a3及B1.HA 370b1。屬於客體A之主機虛擬位址A2.HV 340a2及屬於客體B之B2.HV 360b2兩者映射至同一主機絕對頁面AB2.HA 380。此使得能夠在此等兩個客體之間共用資料。在客體DAT轉譯期間,客體表位址中之每一者被視為客體絕對位址且經歷額外巢套之主機DAT轉譯。
本文中所描述之本發明之實施例提供安全客體(SG)及安全介面控制件(UV)儲存保護。禁止非安全客體及超管理器存取安全儲存器。超管理器規定,對於給定駐留的安全客體頁面,以下情況發生。相關 聯之主機絕對位址僅可經由單一超管理器(主機)DAT映射存取。亦即,存在映射至指派給安全客體之任何給定主機絕對位址的單一主機虛擬位址。與給定安全客體頁面相關聯之超管理器DAT映射(主機虛擬至主機絕對)在頁面被分頁移入時不改變。對於單一安全客體,映射與安全客體頁面相關聯之主機絕對頁面。
根據本發明之一或多個實施例,亦禁止在安全客體之間共用儲存器。儲存器在單一安全客體之控制下在安全客體與超管理器之間共用。UV儲存器為安全儲存器且可由安全介面控制件存取但不可由客體/主機存取。儲存器藉由超管理器分配至安全介面控制件。根據本發明之一或多個實施例,硬體及安全介面控制件禁止任何嘗試違反此等規則之行為。
現轉向圖4,總體上展示根據本發明之一或多個實施例的安全客體儲存器之映射的實例。圖4類似於圖3,除了圖4之實例不允許在安全客體A與安全客體B之間共用儲存器以外。在圖3之非安全實例中,屬於客體A之主機虛擬位址A2.HV 340a2及屬於客體B之B2.HV 360b2兩者映射至同一主機絕對頁面AB2.HA 380。在圖4之安全客體儲存實例中,屬於客體A之主機虛擬位址A2.HV 340a2映射至主機絕對位址A2.HA 490a,而屬於客體B之B2.HV 360b2映射至其自身的B2.HA 490b。在此實例中,安全客體之間不存在共用。
在安全客體頁面駐留於磁碟上時,其經加密。當超管理器分頁移入安全客體頁面時,其發出UV呼叫(UVC),該呼叫使安全控制介面將頁面標記為安全(除非共用),對其解密(除非共用)且將其註冊(在區域安全性表中)為屬於適當安全客體(例如,客體A)。此外,其將相關聯之主機虛擬位址(例如,A3.HV 340a3)註冊至彼主機絕對頁面(被稱作主機位址 對)。若超管理器未能發出正確UVC,則其在試圖存取安全客體頁面時接收例外。當超管理器分頁移出客體頁面時,發出類似UVC,其對客體頁面(除非共用)加密,之後將客體頁面標記為非安全且在區域安全性表中將其註冊為非安全。
在具有五個給定主機絕對頁面K、P、L、M及N之實例中,當超管理器分頁移入該等主機絕對頁面時,其中之每一者由安全控制介面標記為安全。此防止非安全客體及超管理器存取該等頁面。當超管理器分頁移入主機絕對頁面K、P及M時,將其註冊為屬於客體A;當主機絕對頁面L及N由超管理器分頁移入時,將其註冊至客體B。在分頁期間不對共用頁面(在單一安全客體與超管理器之間共用的頁面)加密或解密。共用頁面未標記為安全(允許由超管理器存取),但在區域安全性表中向單一安全客體網域註冊。
根據本發明之一或多個實施例,當非安全客體或超管理器試圖存取由安全客體擁有之頁面時,超管理器接收安全儲存器存取(PIC3D)例外。不需要額外轉譯步驟來判定此情形。
根據一或多個實施例,當安全實體試圖存取頁面時,硬體執行額外轉譯檢查,其驗證儲存器實際上確實屬於彼特定安全客體。若並非如此,則向超管理器呈現非安全存取(PIC3E)例外。此外,若正被轉譯之主機虛擬位址不匹配來自區域安全性表中之所註冊主機位址對的主機虛擬位址,則辨識到安全儲存違反(「3F」x)例外。為了使得能夠與超管理器共用,只要轉譯檢查允許存取,安全客體便可存取未標記為安全的儲存器。
現轉向圖5,總體上展示根據本發明之一或多個實施例的用 於匯入操作之程序流程500。當安全客體存取由超管理器分頁移出之頁面時,會發生一系列事件,諸如程序流程500中所展示之事件,以便安全地將彼頁面調回。程序流程500在區塊505處開始,其中安全客體存取客體虛擬頁面。由於該頁面例如無效,因此硬體向超管理器呈現由程式中斷碼11(PIC 11)指示之主機頁面錯誤(參見區塊515)。超管理器又識別可用於此客體頁面之非安全主機絕對頁面(參見區塊520),且將經加密客體頁面分頁移入至識別出的主機絕對頁面(參見區塊525)。
在區塊530處,接著在適當(基於主機虛擬位址)的主機DAT表中映射主機絕對頁面。在區塊535處,超管理器主機接著重新分派安全客體。在區塊540處,安全客體重新存取客體安全頁面。不再存在頁面錯誤,但由於此為安全客體存取且頁面未在圖1之區域安全性表100中標記為安全,因此在區塊545處,硬體向超管理器呈現非安全儲存例外(PIC3E)。此PIC3E防止客體存取此安全頁面,直至已發出必要匯入。接下來,程序流程500繼續進行至「A」,其連接至圖6。
現轉向圖6,總體上展示根據本發明之一或多個實施例的用於執行匯入操作之程序流程600。回應於PIC3E,正常執行之超管理器(例如,以預期方式執行而無錯誤)將發出匯入UVC(參見區塊605)。應注意,此時,待匯入之頁面標記為非安全且僅可由超管理器、其他非安全實體及安全介面控制件存取。其無法由安全客體存取。
作為匯入UVC之部分,充當安全介面控制件之受信任韌體檢查以查看此頁面是否已由安全介面控制件鎖定(參見決策區塊610)。若由安全介面控制件鎖定,則程序流程600繼續進行至區塊620。在區塊620處,將「忙碌」傳回碼傳回至超管理器,作為回應,超管理器將延遲(參 見區塊625)且重新發出匯入UVC(程序流程600返回至區塊605)。若頁面尚未被鎖定,則程序流程600繼續進行至決策區塊622。
在決策區塊622處,安全介面控制件檢查以查看該頁面是否為與非安全超管理器共用之頁面。若該頁面被共用(程序流程600繼續進行至決策區塊624),則安全介面控制件在區域安全性表中將主機絕對位址向具有相關聯之安全客體網域註冊,具有主機虛擬位址且註冊為共用的。此頁面保持標記為非安全。此完成匯入UVC且頁面現可由客體存取。處理以超管理器重新分派客體(區塊630)且安全客體成功地存取頁面(區塊635)繼續。
若待匯入之主機虛擬頁面不與超管理器共用(程序流程600繼續進行至區塊640),則安全介面控制件將標記頁面為安全,使得超管理器不再能夠存取頁面。在區塊645處,安全介面控制件鎖定該頁面,使得其他UVC無法修改頁面狀態。一旦設定了鎖定(在區塊650處),安全介面控制件便將驗證在客體頁面經加密時其內容未改變。若內容確有改變,則將錯誤傳回碼傳回至超管理器,否則,安全介面控制件將對安全頁面解密。
在區塊655處,安全介面控制件解鎖頁面,從而允許其他UVC進行存取,在區域安全性表中將頁面註冊為安全且與適當的客體網域及主機虛擬位址相關聯,以完成主機位址HV->HA對。此允許客體進行存取且完成UVC。
圖7描繪根據本發明之一或多個實施例的程序流程700。當客體經分派時,SIE進入韌體可向硬體指示客體正執行(例如,客體模式在作用中)且可指示客體是否安全。若客體安全,則可將相關聯之安全客體 網域載入至硬體中(例如,載入SG安全網域暫存器中)。當程式正存取儲存器時,硬體可在存取時基於程式之當前狀態來標示存取。圖7說明處理流程700中之此程序的實例。在區塊705處,硬體可判定機器當前是否正在客體模式中執行,且若否,則可在區塊710處將存取標示為主機存取且在區塊715處將存取標示為非安全存取。若在區塊705處,機器正在客體模式中執行,則可在區塊720處將存取標示為客體存取,且進一步在區塊725處判定當前客體是否為安全客體。若客體非安全,則可在區塊715處將存取標示為非安全。若客體安全,則硬體可在區塊730處將客體標示為安全,其可使安全客體與在分派安全客體時載入之SG安全網域註冊相關聯。對於非安全客體及安全客體兩者,可在區塊735處檢查DAT狀態。若DAT關閉,則可在區塊740處將存取標示為真實。若DAT開啟,則可在區塊745處將存取標示為虛擬。若存取由於DAT關閉在區塊740處標示為真實或由於DAT開啟在區塊745處標示為虛擬,則硬體在區塊750處準備好開始轉譯且存取儲存器,如圖8中進一步所描述。
圖8描繪根據本發明之一或多個實施例的程序流程800中之藉由硬體進行以支援安全存取及非安全存取兩者的轉譯之實例。在區塊805處,硬體可判定存取是否標示為客體轉譯,且若如此且存取在區塊810處為虛擬的,則可在區塊815處執行客體DAT。在客體DAT轉譯期間,可對客體DAT表進行巢套之中間提取。可將表提取標示為客體真實且在原始轉譯標示為安全的情況下標示為安全。表提取亦可遵循程序流程800之轉譯程序。在於區塊815處針對標示為客體虛擬之存取執行客體DAT之後且對於在區塊810處標示為客體真實(虛擬=否)之任何存取,可在區塊820處應用客體前置詞及客體記憶體位移。在客體轉譯程序完成時, 在區塊825處所得位址可標示為主機虛擬且在原始客體轉譯標示為安全的情況下標示為安全。對於標示為主機虛擬之任何存取,程序800可繼續。若原始存取在區塊805處為主機存取(客體=否)且在區塊830處為虛擬存取,則可執行主機DAT(區塊835)。在區塊835處,可將主機表提取標記為非安全。在於區塊835處執行主機DAT之後或若原始主機存取在區塊830處標示為真實(虛擬=否),則可在區塊840處應用主機前置詞。在區塊845處,所得位址可為主機絕對位址。
圖9描繪根據本發明之一或多個實施例的可在程序流程900中由硬體執行之具有安全儲存保護的DAT轉譯之實例。自圖8之區塊845繼續,硬體在區塊940處判定存取是否為安全客體存取,且若並非安全客體存取且若頁面在區塊945處標記為安全,則可在區塊935處向超管理器呈現例外。否則,若在區塊940處存取並非安全客體存取且頁面在區塊945處未標記為安全,則在區塊950處,轉譯成功。
若在區塊940處存取為安全客體存取,則在區塊920處,硬體可檢查以確保儲存器註冊至與存取相關聯之安全實體。自SG安全網域暫存器(在分派安全實體時載入)獲得指定安全網域。若在區塊920處,正被存取之儲存器未註冊至指定安全網域,則在區塊935處向超管理器呈現例外。
對於在區塊940處的對在區塊920處註冊至指定安全網域之儲存器的安全存取,若在區塊955處停用虛擬位址檢查,亦即,DA位元=1,則在區塊950處,轉譯完成。若在區塊955處,未停用虛擬位址檢查,亦即,DA位元=0,則硬體可在區塊970處判定存取之主機虛擬至主機絕對映射是否匹配針對此主機絕對位址而註冊的映射。若匹配,則在區 塊950處,轉譯成功地完成。若在區塊970處,映射不匹配,則在區塊935處,向超管理器呈現例外。在區塊980處之藉由I/O子系統進行的任何存取可檢查以在區塊945處查看頁面是否標記為安全,且若頁面安全,則可在區塊935處向超管理器呈現例外;否則,在區塊950處,轉譯成功。
可經由區域安全性表介接985共同地管理儲存器註冊及映射之各種檢查。舉例而言,區塊920、955及970可與相關聯於同一區域之區域安全性表介接,以管理各種存取。
圖10描繪根據本發明之一或多個實施例的關於使用安全介面控制件之安全執行的程序流程1000。特定而言,程序流程1000使得能夠使用安全儲存位元將頁面標記為安全頁面,該安全儲存位元接著用以禁止存取頁面而無需執行授權檢查。如本文中所描述,將安全儲存位元提供於硬體中以標記安全頁面。當此位元經設定時,硬體防止任何非安全客體或超管理器存取此頁面。此外,每一安全或共用頁面皆註冊於區域安全性表中且用安全客體網域識別碼(ID)來標示。當頁面非安全時,將其如此標記於區域安全性表中。對於每個分割區或區域,皆由安全介面控制件維持此區域安全性表。每個主機絕對頁面皆存在一個項目,其由硬體在由安全實體進行之任何DAT轉譯中使用以驗證頁面僅由安全客體或擁有其的實體存取。
在超管理器分頁移入安全頁面之後,其發出新的至安全儲存器轉換(匯入)UVC。回應於匯入,安全介面控制件使用安全儲存位元將頁面標記為安全頁面。安全介面控制件接著在區域安全性表100中向安全介面控制件設定授權。安全介面控制件對安全頁面解密,且針對安全頁面在區域安全性表100中向安全客體網域設定授權。藉由運算系統之安全 介面控制件接收存取運算系統之記憶體中之頁面的請求(區塊1002)。接著判定請求者為安全客體請求者抑或非安全客體請求者。若判定請求者為非安全客體請求者,則在安全儲存位元經設定時,禁止存取頁面而無需執行授權檢查(區塊1004)。安全儲存位元消除對非安全客體請求者執行運算密集型授權檢查的需要。然而,若判定請求者為安全客體請求者,則執行授權檢查(區塊1006)。
授權檢查可檢查以驗證頁面安全且屬於試圖存取安全頁面之安全客體網域(註冊於區域安全性表100中)。另外或替代地,授權檢查可驗證在安全頁面駐留於客體之記憶體中時超管理器未改變安全頁面之映射。在一些實例中,當頁面標記為安全頁面時,程序流程亦防止超管理器存取安全頁面。在額外實例中,當頁面標記為安全頁面時,防止非安全客體虛擬機器存取安全頁面。
應理解,儘管本發明包括關於雲端運算之詳細描述,但本文中所敍述之教示的實施不限於雲端運算環境。更確切而言,本發明之實施例能夠結合現在已知或稍後開發之任何其他類型之運算環境來實施。
雲端運算為用於使得能夠對可組態運算資源(例如,網路、網路頻寬、伺服器、處理、記憶體、儲存器、應用程式、VM及服務)之共用集區進行便利之按需網路存取的服務遞送之模型,可組態運算資源可藉由最少的管理工作或與服務提供者之互動而快速地佈建及釋放。此雲端模型可包括至少五個特性、至少三個服務模型及至少四個部署模型。
特性如下:
隨選自助服務:雲端客戶可視需要自動地單向佈建運算能力(諸如,伺服器時間及網路儲存器),而無需與服務提供者之人為互動。
寬頻網路存取:可經由網路獲得能力及經由標準機制存取能力,該等標準機制藉由異質精簡型或複雜型用戶端平台(例如,行動電話、膝上型電腦及PDA)促進使用。
資源集用:提供者之運算資源經集用以使用多租戶模型為多個客戶服務,其中根據需要動態指派及重新指派不同實體及虛擬資源。位置獨立性之意義在於,客戶通常不具有對所提供資源之確切位置的控制或瞭解,但可能能夠按較高抽象等級(例如,國家、州或資料中心)指定位置。
快速彈性:可快速且彈性地佈建能力(在一些狀況下,自動地)以迅速地向外延展,且可快速地釋放能力以迅速地向內延展。在客戶看來,可用於佈建之能力常常看起來為無限的且可在任何時間以任何量來購買。
所量測服務:雲端系統藉由在適於服務類型(例如,儲存、處理、頻寬及作用中使用者帳戶)之某一抽象等級下充分利用計量能力而自動控制及最佳化資源使用。可監視、控制及報告資源使用狀況,從而為所利用服務之提供者及客戶兩者提供透明度。
服務模型如下:
軟體即服務(SaaS):提供給客戶之能力係使用在雲端基礎架構上執行之提供者之應用程式。可經由諸如網頁瀏覽器(例如,基於網路之電子郵件)之精簡型用戶端介面自各種用戶端裝置存取應用程式。客戶並不管理或控制包括網路、伺服器、作業系統、儲存器或甚至個別應用程式能力之基礎雲端基礎架構,其中可能的例外狀況為有限的使用者特定應用程式組態設置。
平台即服務(PaaS):提供給客戶之能力係將使用由提供者所支援之程式設計語言及工具建立的客戶建立或獲取之應用程式部署至雲端基礎架構上。客戶並不管理或控制包括網路、伺服器、作業系統或儲存器之基礎雲端基礎架構,但控制所部署之應用程式及可能的代管環境組態之應用程式。
基礎架構即服務(IaaS):提供給客戶之能力係佈建處理、儲存、網絡及其他基礎運算資源,其中客戶能夠部署及執行可包括作業系統及應用程式之任意軟體。客戶並不管理或控制基礎雲端基礎架構,但控制作業系統、儲存器、所部署應用程式,及可能有限地控制選擇網路連接組件(例如,主機防火牆)。
部署模型如下:
私用雲端:僅為組織操作雲端基礎架構。私用雲端可由組織或第三方來管理且可存在內部部署或外部部署。
社群雲端:雲端基礎架構由若干組織共用且支援分擔問題(例如,任務、安全要求、策略及順應性考量)的特定社群。社群雲端可由組織或第三方來管理且可存在內部部署或外部部署。
公開雲端:該雲端基礎架構可用於公眾或大型工業集團且為出售雲端服務之組織所擁有。
混合雲端:該雲端基礎架構為兩個或多於兩個雲端(私用、社群或公開)之組合物,其保持獨特實體但藉由實現資料及應用程式攜帶性(例如,用於在雲端之間實現負載平衡之雲端叢發)之標準化或專屬技術繫結在一起。
藉由集中於無國界、低耦合、模組化及語義互操作性對雲 端運算環境進行服務定向。雲端運算之關鍵為包括互連節點之網路的基礎架構。
現參看圖11,描繪說明性雲端運算環境50。如所展示,雲端運算環境50包括一或多個雲端運算節點10,雲端客戶所使用之諸如個人數位助理(PDA)或蜂巢式電話54A、桌上型電腦54B、膝上型電腦54C及/或汽車電腦系統54N的本端運算裝置可與該一或多個雲端運算節點通信。節點10可彼此通信。可在一或多個網路(諸如,如上文所描述之私用、社群、公開或混合雲端或其組合)中將該等節點實體地或虛擬地分組(未展示)。此允許雲端運算環境50供應基礎架構、平台及/或軟體作為服務,針對該等服務,雲端客戶不需要在本端運算裝置上維持資源。應理解,圖11中所展示之運算裝置54A至54N之類型意欲僅為說明性的,且運算節點10及雲端運算環境50可經由任何類型之網路及/或網路可定址連接(例如,使用網頁瀏覽器)與任何類型之電腦化裝置通信。
現參看圖12,展示藉由雲端運算環境50(圖11)所提供之功能抽象層之集合。事先應理解,圖12中所展示之組件、層及功能意欲僅為說明性的且本發明之實施例不限於此。如所描繪,提供以下層及對應功能:硬體及軟體層60包括硬體及軟體組件。硬體組件之實例包括:大型電腦61;基於精簡指令集電腦(RISC)架構之伺服器62;伺服器63;刀鋒伺服器64;儲存裝置65;以及網路及網路連接組件66。在一些實施例中,軟體組件包括網路應用程式伺服器軟體67及資料庫軟體68。
虛擬化層70提供抽象層,可自該抽象層提供虛擬實體之以下實例:虛擬伺服器71;虛擬儲存器72;虛擬網路73,包括虛擬私用網 路;虛擬應用程式及作業系統74;以及虛擬用戶端75。
在一個實例中,管理層80可提供下文所描述之功能。資源佈建81提供運算資源及用以執行雲端運算環境內之任務之其他資源的動態採購。當在雲端運算環境內利用資源時,計量及定價82提供成本追蹤,及對此等資源之消耗之帳務處理及發票開立。在一個實例中,此等資源可包括應用程式軟體授權。安全性提供針對雲端客戶及任務之身分識別驗證,以及對資料及其他資源之保護。使用者入口網站83為客戶及系統管理器提供對雲端運算環境之存取。服務等級管理84提供雲端運算資源分配及管理使得滿足所需服務等級。服務等級協議(SLA)規劃及實現85提供雲端運算資源之預先配置及採購,針對雲端運算資源之未來要求係根據SLA來預期。
工作負載層90提供功能性之實例,可針對該功能性利用雲端運算環境。可自此層提供之工作負載及功能的實例包括:地圖測繪及導航91;軟體開發及生命週期管理92;虛擬教室教育遞送93;資料分析處理94;異動處理95;及安全儲存隔離96。應理解,此等僅為一些實例且在其他實施例中,該等層可包括不同服務。
現轉向圖13,描繪根據本發明之一或多個實施例的系統13。系統13包括與一或多個用戶端裝置20A至20E直接或間接通信(諸如,經由網路165)之實例節點10(例如,代管節點)。節點10可為雲端運算提供者之資料中心或主機伺服器。節點10執行超管理器12,其促進部署一或多個VM 15(15A至15N)。節點10進一步包括硬體/韌體層11,其直接支援VM 15A至15N及超管理器12所需之功能以及促進超管理器12向VM 15提供一或多個服務。在當代實施方案中,在硬體/韌體層11與超管理器12之 間、在硬體/韌體層11與VM 15之間、在超管理器12與VM 15之間及經由硬體/韌體層11在超管理器12與VM 15之間提供通信。根據本發明之一或多個實施例,在硬體/韌體層11中提供安全介面控制件,且消除超管理器12與VM 15之間的直接通信。
舉例而言,節點10可促進用戶端裝置20A部署VM 15A至15N中之一或多者。可回應於來自相異用戶端裝置20A至20E之各別請求而部署VM 15A至15N。舉例而言,VM 15A可由用戶端裝置20A部署,VM 15B可由用戶端裝置20B部署且VM 15C可由用戶端裝置20C部署。節點10亦可促進用戶端佈建實體伺服器(不作為VM執行)。本文中所描述之實例將節點10中之資源的佈建作為VM之部分來體現,然而,亦可應用所描述之技術解決方案以作為實體伺服器之部分來佈建資源。
在一實例中,用戶端裝置20A至20E可屬於同一實體,諸如個人、企業、政府機構、公司內的部門或任何其他實體,且節點10可作為實體之私用雲端操作。在此狀況下,節點10僅代管由屬於該實體之用戶端裝置20A至20E部署的VM 15A至15N。在另一實例中,用戶端裝置20A至20E可屬於相異實體。舉例而言,第一實體可擁有用戶端裝置20A,而第二實體可擁有用戶端裝置20B。在此狀況下,節點10可作為代管來自不同實體之VM的公用雲端操作。舉例而言,可按遮蔽方式部署VM 15A至15N,其中VM 15A不便於存取VM 15B。舉例而言,節點10可使用IBM z Systems®處理器資源/系統管理器(PR/SM)邏輯分割區(LPAR)特徵來遮蔽VM 15A至15N。諸如PR/SM LPAR之此等特徵提供分割區之間的隔離,因此促進節點10在不同邏輯分割區中部署同一實體節點10上之不同實體的兩個或多於兩個VM 15A至15N。
來自用戶端裝置20A至20E之用戶端裝置20A為通信設備,諸如電腦、智慧型手機、平板電腦、桌上型電腦、膝上型電腦、伺服器電腦或請求節點10之超管理器12部署VM的任何其他通信設備。用戶端裝置20A可經由網路165發送供超管理器接收之請求。來自VM 15A至15N之VM 15A為超管理器12回應於來自用戶端裝置20A至20E中之用戶端裝置20A的請求而部署的VM映像。超管理器12為VM監視器(VMM),其可為建立及執行VM之軟體、韌體或硬體。超管理器12促進VM 15A使用節點10之硬體組件以執行程式及/或儲存資料。藉由適當特徵及修改,超管理器12可為IBM z Systems®、ORACLE VM SERVERTM、CITRIX XENSERVERTM、VMWARE ESXTM、MICROSOFT HYPER-VTM或任何其他超管理器。超管理器12可為直接在節點10上執行之原生超管理器或在另一超管理器上執行之代管超管理器。
現轉向圖14,展示根據本發明之一或多個實施例的用於實施本文中之教示的節點10。節點10可為電子電腦架構,其包含及/或使用利用各種通信技術之任何數目個運算裝置及網路以及其組合,如本文中所描述。節點10可為易於可調、可擴充及模組化的,能夠改變至不同服務或獨立於其他特徵而重新組態一些特徵。
在此實施例中,節點10具有處理器1401,其可包括一或多個中央處理單元(CPU)1401a、1401b、1401c等。亦被稱作處理電路、微處理器、運算單元之處理器1401經由系統匯流排1402耦接至系統記憶體1403及各種其他組件。系統記憶體1403包括唯讀記憶體(ROM)1404及隨機存取記憶體(RAM)1405。ROM 1404耦接至系統匯流排1402,且可包括控制節點10之某些基本功能的基本輸入/輸出系統(BIOS)。RAM為耦接 至系統匯流排1402以供處理器1401使用之讀取-寫入記憶體。
圖14之節點10包括硬碟1407,其為可由處理器1401執行之可讀取的有形儲存媒體之實例。硬碟1407儲存軟體1408及資料1409。軟體1408儲存為指令以在節點10上由處理器1401執行(以執行程序,諸如圖6至圖10之處理流程)。資料1409包括組織於各種資料結構中之定性或定量變數的值之集合以支援軟體1408之操作且由該等操作使用。
圖14之節點10包括一或多個配接器(例如,硬碟控制器、網路配接器、圖形配接器等),其互連處理器1401、系統記憶體1403、硬碟1407以及節點10之其他組件(例如,周邊及外部裝置)且支援其間的通信。在本發明之一或多個實施例中,一或多個配接器可連接至一或多個I/O匯流排,其經由中間匯流排橋接器連接至系統匯流排1402,且一或多個I/O匯流排可利用共同協定,諸如周邊組件互連(PCI)。
如所展示,節點10包括將鍵盤1421、滑鼠1422、揚聲器1423及麥克風1424互連至系統匯流排1402之介面配接器1420。節點10包括將系統匯流排1402互連至顯示器1431之顯示配接器1430。顯示配接器1430(及/或處理器1401)可包括圖形控制器以提供圖形效能,諸如GUI 1432之顯示及管理。通信配接器1441將系統匯流排1402與網路1450互連,從而使得節點10能夠與其他系統、裝置、資料及軟體(諸如,伺服器1451及資料庫1452)通信。在本發明之一或多個實施例中,軟體1408及資料1409之操作可藉由伺服器1451及資料庫1452在網路1450上實施。舉例而言,網路1450、伺服器1451及資料庫1452可組合以提供軟體1408及資料1409之內部反覆,作為平台即服務、軟體即服務及/或基礎架構即服務(例如,作為分散式系統中之網路應用程式)。
因此,如圖14中所組態,軟體1408及資料1409(例如,節點10)之操作必定植根於處理器1401及/或伺服器1451之運算能力,以克服且解決習知超管理器技術之本文中所描述之缺點。就此而言,當保證各種實體或客體虛擬機器之儲存間的隔離而不依賴於超管理器提供隔離時,軟體1408及資料1409藉由減少額外負荷來改良節點10之處理器1401及/或伺服器1451的運算操作,藉此減少處理循環(藉此提高節點10之效率)。
本文中所描述之實施例必定植根於電腦技術,且特定而言為代管VM之電腦伺服器。另外,本發明之一或多個實施例藉由促進代管VM之電腦伺服器代管安全VM來促進改良運算技術本身,特定而言為代管VM之電腦伺服器的操作,其中甚至禁止超管理器存取記憶體、暫存器及與安全VM相關聯之其他此資料。此外,本發明之一或多個實施例藉由使用安全介面控制件(在本文中亦被稱作「UV」)來提供朝向改良代管運算伺服器之VM的重要步驟,以促進安全VM與超管理器之分離且因此維持由運算伺服器代管之VM的安全性,該安全介面控制件包括硬體、韌體(例如,微碼)、受信任軟體或其組合。安全介面控制件提供輕型中間操作以促進安全性,而不會在VM之初始化/退出期間添加確保VM狀態安全的大量額外負荷,如本文中所描述。
本文中所揭示之本發明之實施例可包括保證各種實體或客體虛擬機器之儲存間的隔離而不依賴於超管理器提供隔離的系統、方法及/或電腦程式產品(在本文中為系統)。應注意,對於每種解釋,用於元件之識別符重新用於不同圖式之其他類似元件。
本文中參看相關圖式描述本發明之各種實施例。可在不脫離本發明之範疇的情況下設計本發明之替代實施例。在以下描述及圖式 中,闡述元件之間的各種連接及位置關係(例如,上方、下方、鄰近等)。除非另外規定,否則此等連接及/或位置關係可為直接或間接的,且本發明在此方面不意欲為限制性的。相應地,實體之耦接可指直接抑或間接耦接,且實體之間之位置關係可為直接或間接位置關係。此外,本文中所描述之各種任務及程序步驟可併入至具有未詳細地描述於本文中之額外步驟或功能性的更全面程序或處理程序中。
以下定義及縮寫將用於解譯申請專利範圍及本說明書。如本文中所使用,術語「包含(comprises/comprising)」、「包括(includes/including)」、「具有(has/having)」、「含有(contains或containing)」或其任何其他變體意欲涵蓋非排他性包括。舉例而言,包含一系列元件之組合物、混合物、程序、方法、物品或設備未必僅限於彼等元件,而是可包括未明確地列出或此類組合物、混合物、程序、方法、物品或設備所固有的其他元件。
另外,術語「例示性」在本文中用於意謂「充當實例、例子或說明」。不必將本文中描述為「例示性」之任何實施例或設計理解為比本發明之其他實施例或設計較佳或有利。術語「至少一個」及「一或多個」可理解為包括大於或等於一個之任何整數數目,亦即,一個、兩個、三個、四個等。術語「複數個」可理解為包括大於或等於兩個之任何整數數目,亦即,兩個、三個、四個、五個等。術語「連接」可包括間接「連接」及直接「連接」兩者。
術語「約」、「大體上」、「大約」及其變體意欲包括與基於在申請本申請案時可用的設備之特定量的量測相關聯之誤差度。舉例而言,「約」可包括給定值之±8%或5%或2%的範圍。
本發明可為在任何可能之技術細節整合層級處的系統、方法及/或電腦程式產品。該電腦程式產品可包括一(或多個)電腦可讀儲存媒體,其上具有電腦可讀程式指令以使處理器進行本發明之態樣。
電腦可讀儲存媒體可為有形裝置,其可持留及儲存指令以供指令執行裝置使用。電腦可讀儲存媒體可為例如但不限於電子儲存裝置、磁性儲存裝置、光學儲存裝置、電磁儲存裝置、半導體儲存裝置或前述各者之任何合適組合。電腦可讀儲存媒體之更特定實例的非窮盡性清單包括以下各者:攜帶型電腦磁片、硬碟、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除可程式化唯讀記憶體(EPROM或快閃記憶體)、靜態隨機存取記憶體(SRAM)、攜帶型光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)、記憶棒、軟碟、機械編碼裝置(諸如,上面記錄有指令之凹槽中之打孔卡片或凸起結構)及前述各者之任何合適組合。如本文中所使用,不應將電腦可讀儲存媒體本身解釋為暫時性信號,諸如無線電波或其他自由傳播之電磁波、經由波導或其他傳輸媒體傳播之電磁波(例如,經由光纖纜線傳遞之光脈衝),或經由導線傳輸之電信號。
本文中所描述之電腦可讀程式指令可自電腦可讀儲存媒體下載至各別運算/處理裝置或經由網路(例如,網際網路、區域網路、廣域網路及/或無線網路)下載至外部電腦或外部儲存裝置。網路可包含銅傳輸纜線、光學傳輸光纖、無線傳輸、路由器、防火牆、交換器、閘道器電腦及/或邊緣伺服器。每一運算/處理裝置中之網路配接卡或網路介面自網路接收電腦可讀程式指令且轉遞電腦可讀程式指令以用於儲存於各別運算/處理裝置內之電腦可讀儲存媒體中。
用於進行本發明之操作之電腦可讀程式指令可為以一或多 種程式設計語言之任何組合編寫之組譯器指令、指令集架構(ISA)指令、機器指令、機器相關指令、微碼、韌體指令、狀態設置資料、用於積體電路系統之組態資料,或原始程式碼或目標程式碼,該一或多種程式設計語言包括諸如Smalltalk、C++或其類似者之物件導向式程式設計語言,及程序性程式設計語言,諸如「C」程式設計語言或類似程式設計語言。電腦可讀程式指令可完全在使用者電腦上執行,作為單獨套裝軟體部分地在使用者之電腦上執行,部分地在使用者之電腦上及部分地在遠端電腦上執行或完全在遠端電腦或伺服器上執行。在後一情形中,遠端電腦可經由任何類型之網路(包括區域網路(LAN)或廣域網路(WAN))連接至使用者之電腦,或可連接至外部電腦(例如,使用網際網路服務提供者經由網際網路)。在一些實施例中,電子電路系統(包括例如可程式化邏輯電路系統、場可程式化閘陣列(FPGA)或可程式化邏輯陣列(PLA))可藉由利用電腦可讀程式指令之狀態資訊來個人化電子電路系統而執行電腦可讀程式指令,以便執行本發明之態樣。
本文參考根據本發明之實施例之方法、設備(系統)及電腦程式產品之流程圖說明及/或方塊圖來描述本發明之態樣。應理解,可藉由電腦可讀程式指令實施流程圖說明及/或方塊圖中之每一區塊,及流程圖說明及/或方塊圖中的區塊之組合。
可將此等電腦可讀程式指令提供至通用電腦、專用電腦或其他可程式化資料處理設備之處理器以產生機器,使得經由該電腦或其他可程式化資料處理設備之處理器執行之指令建立用於實施該一或多個流程圖及/或方塊圖區塊中所指定之功能/動作之構件。亦可將此等電腦可讀程式指令儲存於電腦可讀儲存媒體中,該等指令可指導電腦、可程式化資料 處理設備及/或其他裝置以特定方式起作用,使得儲存有指令之電腦可讀儲存媒體包含製品,該製品包括實施在該一或多個流程圖及/或方塊圖區塊中指定之功能/動作之態樣的指令。
電腦可讀程式指令亦可載入至電腦、其他可程式化資料處理設備或其他裝置上,以使一系列操作步驟在該電腦、其他可程式化設備或其他裝置上執行以產生電腦實施之程序,使得在該電腦、其他可程式化設備或其他裝置上執行之指令實施在該一或多個流程圖及/或方塊圖區塊中所指定之功能/動作。
諸圖中之流程圖及方塊圖說明根據本發明之各種實施例的系統、方法及電腦程式產品之可能實施之架構、功能性及操作。就此而言,流程圖或方塊圖中之每一區塊可表示指令之模組、區段或部分,其包含用於實施指定邏輯功能之一或多個可執行指令。在一些替代實施中,區塊中所提及之功能可不按諸圖中所提及之次序發生。舉例而言,以連續方式展示的兩個區塊實際上可實質上同時執行,或該等區塊有時可以相反次序執行,此取決於所涉及的功能性。亦應注意,可由執行指定功能或動作或進行專用硬體及電腦指令之組合的基於專用硬體之系統實施方塊圖及/或流程圖說明之每一區塊及方塊圖及/或流程圖說明中之區塊的組合。
本文中所使用之術語僅出於描述特定實施例之目的,且並不意欲為限制性的。如本文中所使用,除非上下文另外明確地指示,否則單數形式「一(a、an)」及「該」意欲亦包括複數形式。應進一步理解,術語「包含(comprises及/或comprising)」在用於本說明書中時指定所陳述特徵、整體、步驟、操作、元件及/或組件之存在,但不排除一或多個其他特徵、整體、步驟、操作、元件、組件及/或其群組之存在或添加。
各種實施例之描述在本文中已出於說明的目的呈現,但不意欲為詳盡的或限於所揭示之實施例。在不脫離所描述實施例之範疇及精神的情況下,一般熟習此項技術者將顯而易見許多修改及變化。本文中所使用之術語經選擇以最佳解釋實施例之原理、實際應用或對市場中發現的技術之技術改良,或使得其他一般熟習此項技術者能夠理解本文中所揭示之實施例。
500:用於匯入操作之程序流程

Claims (25)

  1. 一種電腦實施方法,其包含:藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之一記憶體中之一頁面的一請求;回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查;及回應於判定該請求者為一安全請求者,執行該授權檢查。
  2. 如請求項1之方法,其中該授權檢查包含驗證該頁面屬於試圖存取該頁面之一安全網域的一檢查。
  3. 如請求項1之方法,其中該授權檢查包含驗證在該頁面駐留於該記憶體中時由該頁面之一非安全實體進行之一映射的一檢查。
  4. 如請求項1之方法,其進一步包含:回應於來自一不受信任實體之該請求,將該頁面標記為一安全頁面。
  5. 如請求項4之方法,其進一步包含:回應於將該頁面標記為該安全頁面,防止任何不可受信任實體存取該安全頁面。
  6. 如請求項4之方法,其進一步包含:在將該頁面標記為該安全頁面之前且回應於來自該不受信任實體之該請求,藉由該不受信任實體發出一匯入命令以準備該頁面之分頁移入。
  7. 如請求項1之方法,其進一步包含:回應於來自一不受信任實體之該請求,將該頁面註冊為屬於一相關聯之安全實體且註冊一相關聯之主機虛擬位址。
  8. 如請求項7之方法,其進一步包含:回應於向該相關聯之安全實體及該相關聯之主機虛擬位址註冊該頁面,防止另一安全實體或在一主機虛擬位址已改變之情況下存取一安全頁面。
  9. 如請求項6之方法,其中該安全介面控制件包含韌體、硬體或韌體與硬體之一組合;該不受信任實體包含一超管理器;且該安全請求者包含一虛擬機器,其為一安全網域中由該超管理器代管之一安全客體。
  10. 如請求項1之方法,其進一步包含:回應於該授權檢查判定該安全請求者經授權,授予該安全請求者對該頁面之存取。
  11. 一種電腦系統,其包含:一記憶體,其包含電腦可讀指令;及 一處理裝置,其用於執行該等電腦可讀指令以用於執行一方法,該方法包含:藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之該記憶體中之一頁面的一請求;回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查;及回應於判定該請求者為一安全請求者,執行該授權檢查。
  12. 如請求項11之系統,其中該授權檢查包含驗證該頁面屬於試圖存取該頁面之一安全網域的一檢查。
  13. 如請求項11之系統,其中該授權檢查包含驗證在該頁面駐留於該記憶體中時由該頁面之一非安全實體進行之一映射的一檢查。
  14. 如請求項11之系統,其中該方法進一步包含:回應於來自一不受信任實體之該請求,將該頁面標記為一安全頁面。
  15. 如請求項14之系統,其中該方法進一步包含:回應於將該頁面標記為該安全頁面,防止任何不可受信任實體存取該安全頁面。
  16. 如請求項15之系統,其中該方法進一步包含: 在將該頁面標記為該安全頁面之前且回應於來自該不受信任實體之該請求,藉由該不受信任實體發出一匯入命令以準備該頁面之分頁移入。
  17. 一種電腦程式產品,其包含:一電腦可讀儲存媒體,其具有與其一起體現之程式指令,該等程式指令可由一處理裝置執行以使該處理裝置執行一方法,該方法包含:藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之一記憶體中之一頁面的一請求;回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查;及回應於判定該請求者為一安全請求者,執行該授權檢查。
  18. 如請求項17之電腦程式產品,其中該授權檢查包含驗證該頁面屬於試圖存取該頁面之一安全網域的一檢查。
  19. 如請求項17之電腦程式產品,其中該授權檢查包含驗證在該頁面駐留於該記憶體中時由該頁面之一非安全實體進行之一映射的一檢查。
  20. 如請求項17之電腦程式產品,其中該方法進一步包含:回應於來自一不受信任實體之一請求,將該頁面標記為一安全頁面;回應於將該頁面標記為該安全頁面,防止任何不可受信任實體存取該安全頁面;及 在將該頁面標記為該安全頁面之前且回應於來自該不受信任實體之該請求,藉由該不受信任實體發出一匯入命令以準備該頁面之分頁移入。
  21. 如請求項17之電腦程式產品,其中該方法進一步包含:回應於該授權檢查判定該安全請求者經授權,授予該安全請求者對該頁面之存取。
  22. 一種電腦實施方法,其包含:藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之一記憶體中之一頁面的一請求;回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查;及回應於判定該請求者為一安全請求者,執行該授權檢查,其中該授權檢查包含驗證該頁面屬於試圖存取該頁面之一安全網域的一檢查,及驗證在該頁面駐留於該記憶體中時一非安全實體未改變該頁面之一主機映射的一檢查。
  23. 如請求項22之電腦實施方法,其中該安全介面控制件包含韌體、硬體或韌體與硬體之一組合;且該安全請求者包含一虛擬機器,其為一安全網域中由一超管理器代管之一安全客體。
  24. 一種電腦程式產品,其包含:一電腦可讀儲存媒體,其具有與其一起體現之程式指令,該等程式 指令可由一處理裝置執行以使該處理裝置執行一方法,該方法包含:藉由一運算系統之一安全介面控制件接收一請求者的存取該運算系統之一記憶體中之一頁面的一請求;回應於判定該請求者為一非安全請求者且回應於一安全儲存位元經設定,禁止存取該頁面而無需執行一授權檢查;及回應於判定該請求者為一安全請求者,執行該授權檢查,其中該授權檢查包含驗證該頁面屬於試圖存取該頁面之一安全網域的一檢查,及驗證在該頁面駐留於該記憶體中時一非安全實體未改變該頁面之一主機映射的一檢查。
  25. 如請求項24之電腦程式產品,其中該安全介面控制件包含韌體、硬體或韌體與硬體之一組合;且該安全請求者包含一虛擬機器,其為一安全網域中由一超管理器代管之一安全客體。
TW109104167A 2019-03-08 2020-02-11 用於安全儲存隔離之電腦實施方法、系統及程式產品 TWI801714B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/296,345 US11531627B2 (en) 2019-03-08 2019-03-08 Secure storage isolation
US16/296,345 2019-03-08

Publications (2)

Publication Number Publication Date
TW202038104A TW202038104A (zh) 2020-10-16
TWI801714B true TWI801714B (zh) 2023-05-11

Family

ID=69743235

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109104167A TWI801714B (zh) 2019-03-08 2020-02-11 用於安全儲存隔離之電腦實施方法、系統及程式產品

Country Status (14)

Country Link
US (1) US11531627B2 (zh)
EP (1) EP3935495A1 (zh)
JP (1) JP7436495B2 (zh)
KR (1) KR20210118122A (zh)
CN (1) CN113544646B (zh)
AU (1) AU2020238889B2 (zh)
BR (1) BR112021017786A2 (zh)
CA (1) CA3132781A1 (zh)
IL (1) IL285013B2 (zh)
MX (1) MX2021010586A (zh)
SG (1) SG11202105419PA (zh)
TW (1) TWI801714B (zh)
WO (1) WO2020182527A1 (zh)
ZA (1) ZA202105808B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11347529B2 (en) 2019-03-08 2022-05-31 International Business Machines Corporation Inject interrupts and exceptions into secure virtual machine
US11308215B2 (en) * 2019-03-08 2022-04-19 International Business Machines Corporation Secure interface control high-level instruction interception for interruption enablement
US11640361B2 (en) 2019-03-08 2023-05-02 International Business Machines Corporation Sharing secure memory across multiple security domains

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170357592A1 (en) * 2016-06-09 2017-12-14 Vmware, Inc. Enhanced-security page sharing in a virtualized computer system
US9989043B2 (en) * 2009-01-16 2018-06-05 Teleputers, Llc System and method for processor-based security
TW201828649A (zh) * 2017-01-28 2018-08-01 美商高通公司 使用多路徑驗證的網路攻擊偵測
US20190042463A1 (en) * 2018-09-28 2019-02-07 Vedvyas Shanbhogue Apparatus and method for secure memory access using trust domains

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4787031A (en) 1985-01-04 1988-11-22 Digital Equipment Corporation Computer with virtual machine mode and multiple protection rings
JP3657665B2 (ja) 1995-02-14 2005-06-08 富士通株式会社 共用メモリに結合される複数の計算機システム及び共用メモリに結合される複数の計算機システムの制御方法
US6314501B1 (en) 1998-07-23 2001-11-06 Unisys Corporation Computer system and method for operating multiple operating systems in different partitions of the computer system and for allowing the different partitions to communicate with one another through shared memory
JP4220476B2 (ja) 2002-11-18 2009-02-04 エイアールエム リミテッド 安全ドメインおよび非安全ドメインを有するシステム内での仮想−物理メモリアドレスマッピング
EP1678617A4 (en) 2003-10-08 2008-03-26 Unisys Corp COMPUTER SYSTEM PARAVIRTUALIZATION BY USING A HYPERVISOR IMPLEMENTED IN A PARTITION OF THE HOST SYSTEM
US20050102670A1 (en) 2003-10-21 2005-05-12 Bretl Robert F. Shared object memory with object management for multiple virtual machines
US10768958B2 (en) 2004-11-17 2020-09-08 Vmware, Inc. Using virtual local area networks in a virtual computer system
US7886126B2 (en) 2005-01-14 2011-02-08 Intel Corporation Extended paging tables to map guest physical memory addresses from virtual memory page tables to host physical memory addresses in a virtual machine system
US7814307B2 (en) 2006-03-16 2010-10-12 Microsoft Corporation Fast booting a computing device to a specialized experience
US7610481B2 (en) 2006-04-19 2009-10-27 Intel Corporation Method and apparatus to support independent systems in partitions of a processing system
JP4952308B2 (ja) 2007-03-09 2012-06-13 日本電気株式会社 メモリ共有システム、方法、及び、プログラム
US8261265B2 (en) * 2007-10-30 2012-09-04 Vmware, Inc. Transparent VMM-assisted user-mode execution control transfer
US8527715B2 (en) 2008-02-26 2013-09-03 International Business Machines Corporation Providing a shared memory translation facility
GB2460393B (en) 2008-02-29 2012-03-28 Advanced Risc Mach Ltd A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry
US8041877B2 (en) 2008-06-09 2011-10-18 International Business Machines Corporation Distributed computing utilizing virtual memory having a shared paging space
US8006043B2 (en) 2008-10-06 2011-08-23 Vmware, Inc. System and method for maintaining memory page sharing in a virtual environment
US20100161879A1 (en) 2008-12-18 2010-06-24 Lsi Corporation Efficient and Secure Main Memory Sharing Across Multiple Processors
US9405700B2 (en) 2010-11-04 2016-08-02 Sonics, Inc. Methods and apparatus for virtualization in an integrated circuit
US8984478B2 (en) 2011-10-03 2015-03-17 Cisco Technology, Inc. Reorganization of virtualized computer programs
US9483635B2 (en) 2012-08-03 2016-11-01 North Carolina State University Methods, systems, and computer readable medium for active monitoring, memory protection and integrity verification of target devices
US10198572B2 (en) 2013-09-17 2019-02-05 Microsoft Technology Licensing, Llc Virtual machine manager facilitated selective code integrity enforcement
US9767044B2 (en) 2013-09-24 2017-09-19 Intel Corporation Secure memory repartitioning
US9117081B2 (en) 2013-12-20 2015-08-25 Bitdefender IPR Management Ltd. Strongly isolated malware scanning using secure virtual containers
US10599565B2 (en) 2013-12-24 2020-03-24 Hewlett-Packard Development Company, L.P. Hypervisor managing memory addressed above four gigabytes
US9483639B2 (en) 2014-03-13 2016-11-01 Unisys Corporation Service partition virtualization system and method having a secure application
US9652631B2 (en) 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
KR20150128328A (ko) 2014-05-09 2015-11-18 한국전자통신연구원 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법
US9792222B2 (en) 2014-06-27 2017-10-17 Intel Corporation Validating virtual address translation by virtual machine monitor utilizing address validation structure to validate tentative guest physical address and aborting based on flag in extended page table requiring an expected guest physical address in the address validation structure
US9454497B2 (en) 2014-08-15 2016-09-27 Intel Corporation Technologies for secure inter-virtual-machine shared memory communication
US9436619B2 (en) * 2014-09-08 2016-09-06 Raytheon Company Multi-level, hardware-enforced domain separation using a separation kernel on a multicore processor with a shared cache
US10599458B2 (en) 2015-01-23 2020-03-24 Unisys Corporation Fabric computing system having an embedded software defined network
US10503405B2 (en) 2015-02-10 2019-12-10 Red Hat Israel, Ltd. Zero copy memory reclaim using copy-on-write
US9870324B2 (en) 2015-04-09 2018-01-16 Vmware, Inc. Isolating guest code and data using multiple nested page tables
KR102327782B1 (ko) 2015-05-29 2021-11-18 한국과학기술원 전자 장치 및 커널 데이터 접근 방법
GB2539435B8 (en) 2015-06-16 2018-02-21 Advanced Risc Mach Ltd Data processing memory access control, in which an owning process for a region of memory is specified independently of privilege level
US20170063544A1 (en) 2015-08-26 2017-03-02 Rubicon Labs, Inc. System and method for sharing data securely
US9792143B1 (en) 2015-10-23 2017-10-17 Amazon Technologies, Inc. Platform secure execution modes
CN107203722B (zh) * 2016-03-16 2020-01-14 中国电子科技集团公司电子科学研究院 一种虚拟化数据隔离交换方法及装置
US10585805B2 (en) 2016-07-29 2020-03-10 Advanced Micro Devices, Inc. Controlling access to pages in a memory in a computing device
US10303899B2 (en) 2016-08-11 2019-05-28 Intel Corporation Secure public cloud with protected guest-verified host control
US10713177B2 (en) 2016-09-09 2020-07-14 Intel Corporation Defining virtualized page attributes based on guest page attributes
KR102511451B1 (ko) 2016-11-09 2023-03-17 삼성전자주식회사 리치 실행 환경에서 보안 어플리케이션을 안전하게 실행하는 컴퓨팅 시스템
US10169088B2 (en) 2016-11-29 2019-01-01 Red Hat Israel, Ltd. Lockless free memory ballooning for virtual machines
US11922220B2 (en) * 2018-11-08 2024-03-05 Intel Corporation Function as a service (FaaS) system enhancements
US11461244B2 (en) * 2018-12-20 2022-10-04 Intel Corporation Co-existence of trust domain architecture with multi-key total memory encryption technology in servers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9989043B2 (en) * 2009-01-16 2018-06-05 Teleputers, Llc System and method for processor-based security
US20170357592A1 (en) * 2016-06-09 2017-12-14 Vmware, Inc. Enhanced-security page sharing in a virtualized computer system
TW201828649A (zh) * 2017-01-28 2018-08-01 美商高通公司 使用多路徑驗證的網路攻擊偵測
US20190042463A1 (en) * 2018-09-28 2019-02-07 Vedvyas Shanbhogue Apparatus and method for secure memory access using trust domains

Also Published As

Publication number Publication date
IL285013B2 (en) 2024-04-01
CN113544646B (zh) 2024-01-23
CN113544646A (zh) 2021-10-22
ZA202105808B (en) 2023-02-22
WO2020182527A1 (en) 2020-09-17
BR112021017786A2 (pt) 2021-11-23
EP3935495A1 (en) 2022-01-12
AU2020238889A1 (en) 2021-06-17
US20200285595A1 (en) 2020-09-10
US11531627B2 (en) 2022-12-20
IL285013A (en) 2021-09-30
JP7436495B2 (ja) 2024-02-21
AU2020238889B2 (en) 2022-12-01
CA3132781A1 (en) 2020-09-17
IL285013B1 (en) 2023-12-01
KR20210118122A (ko) 2021-09-29
TW202038104A (zh) 2020-10-16
MX2021010586A (es) 2021-10-13
JP2022522728A (ja) 2022-04-20
SG11202105419PA (en) 2021-06-29

Similar Documents

Publication Publication Date Title
JP7379512B2 (ja) セキュア・ドメインと非セキュア・エンティティとの間のストレージ共用
US11455398B2 (en) Testing storage protection hardware in a secure virtual machine environment
TWI752412B (zh) 用於安全介面控制安全儲存硬體標記之電腦實施的方法、電腦系統及電腦程式產品
KR102551936B1 (ko) 보안 인터페이스 컨트롤 스토리지를 위한 호스트 가상 주소 공간
US11182192B2 (en) Controlling access to secure storage of a virtual machine
JP7350868B2 (ja) 複数のセキュリティ・ドメインにわたるセキュア・メモリの共用
CN113544680B (zh) 用于页导入/导出的程序中断
TWI801714B (zh) 用於安全儲存隔離之電腦實施方法、系統及程式產品
JP2022522499A (ja) セキュア・ストレージのクエリおよび提供方法、システム、プログラム
JP7393846B2 (ja) セキュア・インターフェイス制御の高レベルのページ管理
JP7410161B2 (ja) ページ変更検出によるセキュアなページング
JP2022522679A (ja) セキュア・インターフェース・コントロールの通信インターフェース
TWI838460B (zh) 用於安全介面控制件之通信介面之電腦實施的方法、電腦系統及電腦程式產品