Virtual machine managers (such as hypervisors) implement virtual security patterns that make multiple different virtual trust levels available to virtual processors of virtual machines. Different memory access protection (such as the ability to read, write, and/or execute memory) can be associated with different memory parts (such as memory pages) for each virtual trust level. Virtual trust level is organized into hierarchical structure, in which higher virtual trust level has more privileges than lower virtual trust level, and programs running in higher virtual trust level can change the memory access protection of lower virtual trust level. The number of virtual trust levels can vary, and can vary for different virtual machines and for different virtual processors in the same virtual machine.
【技术实现步骤摘要】
【国外来华专利技术】虚拟机的虚拟安全模式背景随着计算技术发展,计算设备已经变得越来越互连。尽管这种互连提供了许多益处,但它并非没有其问题。一种这样的问题是计算设备越来越多地暴露于恶意程序。恶意程序能以不同方式操作,诸如通过从计算设备窃取信息、禁用计算设备、使用计算设备发起针对其他计算设备的攻击等等。尽管已经开发了一些技术来保护计算设备以防范恶意程序,但是这样的恶意程序仍然存在且在它们感染用户的计算机时能导致破坏用户体验。概述提供本概述以便以简化的形式介绍以下在详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。根据一个或多个方面,针对虚拟机实现虚拟安全模式,该虚拟安全模式具有多个虚拟信任等级。该多个虚拟信任等级被组织为层次结构以使得更高等级的虚拟信任等级比更低的虚拟信任等级更享有特权。允许该虚拟机的虚拟处理器在该多个虚拟信任等级中的任何虚拟信任等级中运行,但是该虚拟处理器每次仅在一个虚拟信任等级中运行,且该虚拟处理器正在其中运行的虚拟信任等级是活动虚拟信任等级。管理虚拟机的虚拟机管理器允许在虚拟处理器上运行的程序基...
【技术保护点】
1.一种用于虚拟机的虚拟安全模式的方法,包括:针对虚拟机(106)实现(402)虚拟安全模式,所述虚拟安全模式具有多个虚拟信任等级(204(0)‑204(x)),所述多个虚拟信任等级(204(0)‑204(x))被组织为层次结构以使得更高等级的虚拟信任等级(204(x))比更低虚拟信任等级(204(0))具有更多特权,其中每一个虚拟信任等级具有与其相关联的独立的存储器访问保护集合,每一个虚拟信任等级具有与其相关联的独立的虚拟处理器状态,并且每一个虚拟信任等级具有与其相关联的独立的中断子系统;允许(404)所述虚拟机(106)的虚拟处理器(202)在所述多个虚拟信任等级(20...
【技术特征摘要】
【国外来华专利技术】2013.09.17 US 61/879,072;2014.02.21 US 14/186,4151.一种用于虚拟机的虚拟安全模式的方法,包括:针对虚拟机(106)实现(402)虚拟安全模式,所述虚拟安全模式具有多个虚拟信任等级(204(0)-204(x)),所述多个虚拟信任等级(204(0)-204(x))被组织为层次结构以使得更高等级的虚拟信任等级(204(x))比更低虚拟信任等级(204(0))具有更多特权,其中每一个虚拟信任等级具有与其相关联的独立的存储器访问保护集合,每一个虚拟信任等级具有与其相关联的独立的虚拟处理器状态,并且每一个虚拟信任等级具有与其相关联的独立的中断子系统;允许(404)所述虚拟机(106)的虚拟处理器(202)在所述多个虚拟信任等级(204(0)-204(x))中的任何虚拟信任等级中运行,所述虚拟处理器(202)每次仅在一个虚拟信任等级中运行,且所述虚拟处理器(202)正在其中运行的虚拟信任等级是活动虚拟信任等级;以及通过管理所述虚拟机(106)的虚拟机管理器(102)允许(406)在所述虚拟处理器(202)上运行的程序基于为所述活动虚拟信任等级配置的存储器访问保护(206(0)-206(x))来访问所述虚拟机的存储器。2.如权利要求1所述的方法,其特征在于,所述存储器访问保护(206(0)-206(x))包括针对所述虚拟机(106)的虚拟存储器空间中的多个存储器页中的每个页的存储器访问保护(206(0)-206(x))。3.如权利要求2所述的方法,其特征在于,允许所述程序访问存储器包括:接收对存储器地址的特定类型的访问的请求,所述特定类型的访问包括读访问、写访问、或执行访问;检查所述多个存储器页中包括所述存储器地址的一个存储器页的活动虚拟信任等级的存储器访问保护(206(0)-206(x))是否指示所述特定类型的访问被允许;以及仅响应于所述一个存储器的活动虚拟信任等级的存储器访问保护(206(0)-206(x))指示所述特定类型的访问被允许而允许所述程序执行对所处存储器地址的所述特定类型的访问。4.如权利要求1所述的方法,其特征在于,进一步包括:通过所述虚拟机管理器(102)允许在所述虚拟处理器(202)正在所述更高虚拟信任等级中操作时运行的程序改变针对所述更低虚拟信任等级的存储器访问保护(206(0)-206(x));以及通过所述虚拟机管理器(102)阻止在所述虚拟处理器(202)正在所述更低虚拟信任等级中操作时运行的程序改变针对所述更高虚拟信任等级的存储器访问保护(206(0)-206(x))。5.如权利要求1所述的方法,其特征在于,进一步包括响应于一个或多个指令被执行、响应于接收到以所述更高虚拟信任等级为目标的中断、或者响应于访问所述更高虚拟信任等级的受保护地址或受保护组件的操作,将所述活动虚拟信任等级...
【专利技术属性】
技术研发人员:D·A·赫伯金,A·U·基什安,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。