虚拟化管理器的安全引导制造技术

虚拟化主机上的虚拟化管理器的多阶段引导操作在卸载卡处启动。在所述引导的第一阶段，使用存储在所述卸载卡的防篡改位置处的安全密钥。在第二阶段，使用安全模块来测量固件程序，并且在所述卸载卡处实例化第一版本的虚拟化协调器。所述第一版本的所述虚拟化协调器获得不同版本的所述虚拟化协调器，并在所述卸载卡上启动所述不同版本。所述虚拟化管理器的其他部件(例如不在所述卸载卡上运行的各种管理程序部件)由所述不同版本的所述虚拟化控制器启动。

【技术实现步骤摘要】
【国外来华专利技术】虚拟化管理器的安全引导
技术介绍
许多公司和其他组织操作计算机网络，计算机网络使众多计算系统互连以支持其操作，例如其中计算系统位于同一位置(例如，作为本地网络的一部分)或者相反地位于多个截然不同的地理位置中(例如，经由一个或多个私有或公共中间网络连接)。例如，容纳大量互连计算系统的数据中心已经变得很常见，例如由单个组织操作并且代表单个组织的私有数据中心，以及由如企业的实体操作以向客户提供计算资源的公共数据中心。一些公共数据中心运营商为由各种客户拥有的硬件提供网络访问、电源和安全安装设施，而其他公共数据中心运营商提供还包括可供其客户使用的硬件资源的“全面服务”设施。用于商用硬件的虚拟化技术的出现已针对管理大规模计算资源而为具有多样化需求的许多客户提供益处，从而允许各种计算资源有效且安全地由多个客户共享。例如，虚拟化技术可以通过向每个用户提供由单个虚拟化主机托管的一个或多个“来宾”虚拟机来允许单个物理虚拟化主机在多个用户之间共享。每个这样的虚拟机都可以表示充当不同逻辑计算系统的软件模拟，其向用户提供它们是给定硬件计算资源的唯一运营商的假象，同时还在各种虚拟机之间提供应用隔离和安全性。在同一主机上实例化多个不同的虚拟机也可以帮助提高数据中心的整体硬件利用率水平，从而获得更高的投资回报。可以在各种虚拟化环境中的每个虚拟化主机上安装相应的虚拟化管理器，其可以例如包括管理虚拟机实例和/或管理程序。除了其他任务之外，虚拟化管理器可以负责代表客户在主机上启动/停止来宾虚拟机，充当来宾虚拟机与主机和网络的各种硬件部件之间的中介，收集与来宾虚拟机相关的量度，并执行安全规则。从虚拟化环境的运营商的角度来看，虚拟化管理器消耗的资源(例如，主机CPU周期、主机存储器等)可能倾向于减少可以在主机上实例化的来宾虚拟机的数量，并因而降低运营商的主机硬件和相关基础设施的货币化水平。另外，在至少一些情况下，由虚拟化管理器执行以支持来宾虚拟机的管理或后台操作可能具有干扰对时间敏感的客户应用的趋势。因此，设计有效满足现代虚拟化环境的安全性和功能要求的虚拟化管理器可能是一项非常重大的挑战。附图说明图1示出了根据至少一些实施方案的示例系统环境，其中可以在虚拟化计算服务处采用部分卸载的虚拟化管理器。图2示出了根据至少一些实施方案的虚拟化主机的示例部件。图3示出了根据至少一些实施方案的卸载卡的示例部件，其可以用于主机处的虚拟化管理器部件的子集。图4示出了根据至少一些实施方案的可由虚拟化管理器使用的可信平台模块的示例部件。图5示出了根据至少一些实施方案的可以用于虚拟化管理器的示例多阶段引导过程的各方面。图6是示出根据至少一些实施方案的可以被执行以增强用于与虚拟化管理器相关联的可执行程序的存储设备的安全性的操作的各方面的流程图。图7是示出根据至少一些实施方案的可以执行以在虚拟化计算服务的安全基础设施内注册虚拟化主机的操作的各方面的流程图。图8示出了根据至少一些实施方案的与虚拟化主机的部件相关联的不同信任级别的示例。图9示出了根据至少一些实施方案的为启动来宾虚拟机在各个虚拟计算服务部件层之间可能需要的交互的示例。图10示出了根据至少一些实施方案的虚拟化主机处的来宾虚拟机的示例状态转换。图11示出了根据至少一些实施方案的将虚拟化主机的主存储器划分为由卸载的虚拟化管理器部件管理的部分和由管理程序管理的部分的示例。图12示出了根据至少一些实施方案的主机存储器的管理程序管理的部分和包含在由卸载的虚拟化管理器部件管理的存储器部分中的元数据的示例内容。图13示出了根据至少一些实施方案的虚拟化管理器的部件之间的示例性存储器库存相关交互。图14示出了根据至少一些实施方案的在虚拟化管理器的部件之间的与来宾虚拟机实例化和终止相关联的示例存储器相关交互。图15示出了根据至少一些实施方案的在虚拟机管理器的部件之间的与管理程序的实时更新相关联的示例交互。图16是示出根据至少一些实施方案的可以由部分卸载的虚拟化管理器的各种部件执行的存储器管理相关操作的各方面的流程图。图17是示出根据至少一些实施方案的与管理程序的实时更新相关联的操作的各方面的流程图。图18示出了根据至少一些实施方案的机会性管理程序的示例子部件和通信机制。图19和图20共同示出了根据至少一些实施方案的与机会性管理程序执行管理任务相关联的事件的示例序列。图21是示出根据至少一些实施方案的与在管理程序处实现中断驱动和基于队列的任务相关联的操作的各方面的流程图。图22是示出根据至少一些实施方案的与在管理程序处管理不同预期持续时间的任务相关联的操作的各方面的流程图。图23提供了根据至少一些实施方案的通过使用机会性管理程序可以使应用的响应时间变化减少的示例。图24是示出可在至少一些实施方案中使用的示例计算设备的框图。虽然在本文中通过若干实施方案和说明性附图的示例来描述各实施方案，但所属领域的技术人员应认识到，各实施方案并不限于所描述的实施方案或附图。应理解，附图及其详细描述并不意图将各实施方案限制为所公开的特定形式，而是相反，意图是覆盖落入如通过随附的权利要求书所界定的精神和范围内的所有修改、等效物以及替代方案。在本文中使用的标题是仅出于组织的目的，而非意图用于限制说明书或权利要求书的范围。如贯穿此申请案所使用，词语“可”以许可性意义使用(即，意味着具有某种可能)，而非以强制性意义使用(即，意味着必须)。类似地，词语“包括(include、including和includes)”意味着包括但不限于。当用于权利要求书中时，术语“或”用作包括性或而非用作排他性或。例如，短语“x、y或z中的至少一个”意指x、y和z中的任一个以及其任何组合。具体实施方式描述了用于在虚拟化主机处使用部分卸载的虚拟化管理器的虚拟机管理的方法和装置的各种实施方案。在各种实施方案中，除了可用于联网、交互设备等的各种其他硬件部件之外，给定虚拟化主机可以包括一个或多个主物理CPU(中央处理单元)或核以及主存储器(例如，包括一个或多个随机存取存储器或RAM设备)。为了代表各种客户端支持来宾虚拟机，可以通过虚拟化管理器的部件创建CPU的虚拟化版本和/或主存储器的虚拟化部分并将其分配给来宾虚拟机，可以使来宾虚拟机可以访问虚拟化网络设备，等。虚拟化主机的虚拟化管理器可以在不同实施方案中包括软件、固件和/或硬件部件的各种组合，所述组合共同地使得在虚拟化主机上建立和管理来宾虚拟机能够实现。这里可以使用术语“部分卸载”来描述在各种实施方案中具有以下特性的虚拟化管理器：在虚拟化主机上支持来宾虚拟机所需的至少一些虚拟化管理任务可能不使用虚拟化主机的主CPU或核执行。这些任务可以被指定为“卸载的”任务，从而减少主机的物理CPU上与虚拟化管理相关的开销。在各种实施方案中，对于至少一些卸载的任务，不是使用主机的CPU，可以使用位于卸载卡(例如，可通过实现外围部件互连-快速或PCI-E标准的一个版本的总线或诸如QuickPath互连(QPI)或UltraPath互连(UPI)之类的其他互连，从主CPU访问的卡)上的一个或多个处理器。在其他实施方案中，一些卸载的虚拟化管理任务可以在虚拟化主机外部的计算设备处实现，例如，在经由网络连接、可从来宾虚拟机运行所在的虚拟化主机访问的单独本文档来自技高网...

【技术保护点】
1.一种系统，其包括：提供商网络的计算服务的虚拟化主机，其中所述虚拟化主机包括第一卸载卡，其中所述第一卸载卡包括虚拟化管理器的一个或部件；其中所述一个或多个部件被配置为：启动所述虚拟化管理器的多阶段引导操作的第一阶段，其中所述第一阶段包括使用第一密钥对，其中所述第一密钥对的特定密钥存储在防篡改位置；响应于确定所述第一阶段已成功完成，启动所述多阶段引导操作的第二阶段，其中所述第二阶段包括(a)使用安全模块来测量一个或多个固件程序和(b)在所述第一卸载卡上启动第一版本的虚拟化协调器；使用所述第一版本的所述虚拟化协调器，获得不同版本的所述虚拟化协调器；在所述第一卸载卡上启动所述不同版本的所述虚拟化协调器；以及初始化所述虚拟化管理器的一个或多个其他部件以完成所述多阶段引导操作，包括在未安装在所述第一卸载卡上的处理器上运行的至少一个部件。

【技术特征摘要】
【国外来华专利技术】2016.06.30 US 15/199,4791.一种系统，其包括：提供商网络的计算服务的虚拟化主机，其中所述虚拟化主机包括第一卸载卡，其中所述第一卸载卡包括虚拟化管理器的一个或部件；其中所述一个或多个部件被配置为：启动所述虚拟化管理器的多阶段引导操作的第一阶段，其中所述第一阶段包括使用第一密钥对，其中所述第一密钥对的特定密钥存储在防篡改位置；响应于确定所述第一阶段已成功完成，启动所述多阶段引导操作的第二阶段，其中所述第二阶段包括(a)使用安全模块来测量一个或多个固件程序和(b)在所述第一卸载卡上启动第一版本的虚拟化协调器；使用所述第一版本的所述虚拟化协调器，获得不同版本的所述虚拟化协调器；在所述第一卸载卡上启动所述不同版本的所述虚拟化协调器；以及初始化所述虚拟化管理器的一个或多个其他部件以完成所述多阶段引导操作，包括在未安装在所述第一卸载卡上的处理器上运行的至少一个部件。2.如权利要求1所述的系统，其中所述一个或多个其他部件包括在所述虚拟化主机的一个或多个CPU处运行的管理程序。3.如权利要求2所述的系统，其中所述管理程序包括一个或多个静止进程，所述静止进程被配置为推迟一个或多个类别的虚拟化操作，直到所述虚拟化主机的来宾虚拟机已经放弃对CPU的控制。4.如权利要求1所述的系统，其中所述第一密钥对的第二密钥存储在所述虚拟化主机外部的硬件安全模块设备处。5.如权利要求1所述的系统，其中所述虚拟化主机位于所述提供商网络外部的数据中心。6.如权利要求1所述的系统，其中所述虚拟化管理器的所述一个或多个其他部件包括被配置为执行网络处理操作的片上系统。7.如权利要求1所述的系统，其中所述虚拟化管理器被配置为：确定验证在所述虚拟化主机上运行的特定程序的版本的请求已由所述计算服务的控制平面部件发送；以及导致对所述请求的响应被生成，其中所述响应包括从所述安全模块获得的数据。8.如权利要求1所述的系统，其中在完成所述多阶段引导操作之后，所述虚拟化协调器被配置为：在所述虚拟化主机上启动来宾虚拟机的启动；确定所述虚拟化管理器的特定部件的附加版本可用；以及启动所述特定部件到所述附加版本的实时更新，其中所述来宾虚拟机在所述实时更新的至少一部分期间继续运行。9.如权利要求1所述的系统，其中所述一个或多个部件被配置为：在获得所述不同版本的所述虚拟化协调器之前，确定指定用于所述虚拟化协调器的更新版本的存储区域尚未使用加密密钥进行保护；使用所述安全模块，生成用于所述存储区域的加密密钥；使...

【专利技术属性】
技术研发人员：A·N·利果里，B·沃塞尔斯特罗姆，
申请(专利权)人：亚马逊科技公司，
类型：发明
国别省市：美国,US