用于保护虚拟客户的内存的方法包括在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户的操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。该方法包括接收为虚拟客户的运行时内存分配,运行时内存分配包括主机计算系统的运行时内存的一部分。该方法包括由虚拟客户把运行时内存分配的至少一部分设置为是虚拟机管理器不可访问的。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】用于保护虚拟客户的内存的方法包括在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户的操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。该方法包括接收为虚拟客户的运行时内存分配,运行时内存分配包括主机计算系统的运行时内存的一部分。该方法包括由虚拟客户把运行时内存分配的至少一部分设置为是虚拟机管理器不可访问的。【专利说明】保护虚拟客户的内存
本文在此所公开的主题涉及虚拟化和虚拟客户,并且更具体地说涉及保护虚拟客户的内存。
技术介绍
硬件虚拟化使计算平台的抽象成为可能,其中计算平台包括模拟一个或多个计算机环境,应用、程序,甚至完整的操作系统可以作为主机计算平台的“虚拟客户”在其中执行。通常地,主机上诸如管理程序或虚拟机管理器的应用管理和/或提供这些虚拟计算机环境。
技术实现思路
技术问题目前,关于虚拟化,虚拟客户通常对已感染主机(compromised host)(例如,管理程序或虚拟机管理器)容易受到攻击。此外,当虚拟客户在云计算环境中操作时,虚拟客户必须信任云提供商以确保其主机安全并且不滥用它的访问。因此,由于主机会潜在地访问虚拟客户的保密数据,许多诸如那些托管保密研究或其它敏感数据的虚拟客户将不能在公共云计算环境中运行。对问题的解决方案提供了一种用于保护虚拟客户内存的方法。该方法包括在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台中执行的不同的操作环境。该方法包括收虚拟客户的运行时内存分配。运行时内存分配包括主机计算系统的运行时内存的一部分。该方法包括通过虚拟客户把运行时内存分配的至少一部分设置为是不能被虚拟机管理器访问的。提供了一种用于保护虚拟客户内存的装置,该装置具有多个配置为可操作执行上述关于所给出方法的步骤的模块。在所描述的实施例中,这些模块包括初始化模块、接收模块和保护模块。初始化模块在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。接收模块接收虚拟客户的运行时内存分配。运行时内存分配包括主机计算系统的运行时内存的一部分。保护模块通过虚拟客户把运行时内存分配的至少一部分设置为是不能被虚拟机管理器访问的。给出了一种用于保护虚拟客户内存的系统。该系统包括虚拟机管理器,其中虚拟机管理器为主机计算系统、处理器以及存储用于给处理器执行的模块的内存提供虚拟操作平台。内存包括在主机计算系统上初始化虚拟客户的初始化模块。主机计算系统包括管理虚拟客户操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。接收模块接收虚拟客户的运行时内存分配。运行时内存分配包括主机计算系统的运行时内存的一部分。保护模块通过虚拟客户把运行时内存分配的至少一部分设置为是不能被虚拟机管理器访问的。给出了一种用于保护虚拟客户内存的计算机程序产品。该计算机程序产品包括具有计算机可读程序代码包含其中的计算机可读存储介质。该计算机可读程序代码用于在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。该计算机可读程序代码用于接收虚拟客户的运行时内存分配。运行时内存分配包括主机计算系统的运行时内存的一部分。该计算机可读程序代码用于通过虚拟客户把运行时内存分配的至少一部分设置成是不能被虚拟机管理器访问的。给出了另一种方法。该方法包括把虚拟客户安全装置部署到主机计算系统上。该虚拟客户安全装置能够在主机计算系统上初始化虚拟客户。主机计算系统包括管理虚拟客户操作的虚拟机管理器。虚拟客户包括在由虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境。该虚拟客户安全装置能够接收虚拟客户的运行时内存分配。运行时内存分配包括主机计算系统的运行时内存的一部分。该虚拟客户安全装置能够通过虚拟客户把运行时内存分配的至少一部分设置成是不能被虚拟机管理器访问的。专利技术的有利效果由于主机不能访问虚拟客户的保密数据,所以诸如那些托管保密研究或其它敏感数据的许多虚拟客户将能够在公共云计算环境中运行。【专利附图】【附图说明】为了将容易地理解本专利技术实施例的优点,以上简要描述过的实施例的更特定描述将通过参考在附图中说明的具体实施例给出。应当理解,这些附图仅仅绘出了某些实施例,因此不应当被认为是限定范围,将通过使用附图来描述并解释实施例附加的特殊性和细节,附图中:图1是根据本专利技术说明用于保护虚拟客户内存的系统的一种实施例的示意性框图;图2是根据本专利技术说明用于保护虚拟客户内存的系统的第二种实施例的示意性框图;图3是根据本专利技术说明用于保护虚拟客户内存的系统的第三种实施例的示意性框图;图4是根据本专利技术说明用于保护虚拟客户内存的装置的一种实施例的示意性框图;图5是根据本专利技术说明用于保护虚拟客户内存的装置的另一种实施例的详细的示意性框图;图6是根据本专利技术说明用于保护虚拟客户内存的方法的一种实施例的示意性流程图;图7是根据本专利技术说明用于保护虚拟客户内存的方法的另一种实施例的示意性流程图;图8-A是根据本专利技术说明用于部署虚拟客户安全装置的方法的一种实施例的示意性流程图;以及图8-B是根据本专利技术说明用于部署虚拟客户安全装置的方法的一种实施例的图8-A的继续。具体实施例贯穿本说明书,对特征、优点或类似语言的引用并不意味着所有的特征和优点都可以在单一的实施例中实现。相反,参考特征和优点的语言应当理解为是指特定的特征、优点或特性包括在至少一种实施例中。因此,贯穿本说明书对特征和优点以及类似语言的讨论可以但不一定是指同一个实施例。此外,实施例的所述特征、优点及特性可以以任何合适的方式组合。相关领域技术人员将认识到,在没有特定实施例的具体特征或优点中的一个或多个的情况下,也可以实践实施例。在其它情况下,在某些实施例中可以识别在所有实施例中都没有给出的附加特征和优点。根据以下描述与随附权利要求,实施例的这些特征和优点将变得更加完全地显而易见,或者可以通过下文阐述的实施例的实践来了解实施例的这些特征和优点。如本领域技术人员将知道的,本专利技术的各方面可以实现为系统、方法和/或计算机程序产品。因此,本专利技术的各方面可以采用完全的硬件实施例、完全的软件实施例(包括固件、驻留软件、微代码等)或者结合软件和硬件各方面的实施例的形式,这些在本文中都可以一般地称为“电路”、“模块”或“系统”。此外,本专利技术的各方面可以采用在具有计算机可读程序代码包含其中的一个或多个计算机可读介质中的计算机程序产品的形式。本说明书中所描述的许多功能单元标记为模块,以便更特定地强调其实现独立性。例如,模块可以实现为包括定制VLSI电路或门阵列、诸如逻辑芯片的现成半导体、晶体管或其它离散组件的硬件电路。模块还可以在可编程硬件设备中实现,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。模块还可以用软件实现,用于由各种类型的处理器执行。所识别出的计算机可读程序代码模块可以例如包括可以例如组织成对象、过程或函数的计算机指令的一个或多个物理或逻辑块。不过,所识别出的模块的可本文档来自技高网...
【技术保护点】
一种方法,包括:在主机计算系统上初始化虚拟客户,所述主机计算系统包括虚拟机管理器,所述虚拟机管理器管理虚拟客户的操作,所述虚拟客户包括在由所述虚拟机管理器提供的虚拟操作平台上执行的不同的操作环境;接收所述虚拟客户的运行时内存分配,所述运行时内存分配包括所述主机计算系统的运行时内存的一部分;以及由所述虚拟客户把所述运行时内存分配的至少一部分设置为是所述虚拟机管理器不可访问的。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:C·J·阿格斯,N·D·芳泰诺特,R·P·格里姆,J·H·斯库普,M·T·斯特罗萨克尔,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。