【技术实现步骤摘要】
【国外来华专利技术】保护虚拟执行环境
技术介绍
由于很多原因,虚拟化已经变得很普遍。机器虚拟化已经用于:提高硬件资源的利用率、改善安全性、隔离代码、支持工作负载在机器之间的转移、使得不兼容的操作系统能够在同一机器上执行、在租户之间划分单个机器,以及其他原因。机器虚拟化涉及将机器的硬件呈现为虚拟机(VM)的虚拟化层(例如,管理程序)。每个VM通常具有其自己的虚拟化硬件,诸如虚拟磁盘驱动器、虚拟处理器、虚拟化存储器等。每个VM通常具有在其上安装的访客操作系统;访客操作系统如同它直接在主机的硬件上执行一样进行操作,并且虚拟化层对访客操作系统是透明的。机器虚拟化具有优点和缺点。一个缺点是过多的资源开销。每个VM需要存储。在VM之间共享处理时间需要很多昂贵的上下文切换。处理特权指令也可能导致上下文切换开销。每个VM具有完整的操作系统,其可能需要大量的存储。每个VM需要其自己的存储空间。虚拟化层本身可能会占用大量资源,并且仅使用处理器时间来管理资源共享。此外,虚拟机还需要花费大量时间来创建、供应和开始执行。尽管在主机之间进行VM迁移是实用且常用的方法,但是迁移需要大量时间和网络...
【技术保护点】
1.一种由主机计算设备执行的方法,所述主机计算设备包括处理硬件和存储硬件,所述方法包括:/n执行主机操作系统,所述主机操作系统执行访客运行时环境(GRE)引擎,所述GRE引擎被配置为实例化和管理GRE的所述执行,每个GRE包括将所述GRE内的执行与所述主机操作系统和其他GRE隔离的环境;/n为由所述GRE环境管理的GRE提供安全策略,所述安全策略指定要对在所述GRE内执行的代码施加的执行限制;以及/n通过对照所述安全策略监测所述GRE内的代码执行并且在确定所述执行限制适用时实施所述执行限制,来关于所述GRE实施所述安全策略。/n
【技术特征摘要】
【国外来华专利技术】20170430 US 15/582,7411.一种由主机计算设备执行的方法,所述主机计算设备包括处理硬件和存储硬件,所述方法包括:
执行主机操作系统,所述主机操作系统执行访客运行时环境(GRE)引擎,所述GRE引擎被配置为实例化和管理GRE的所述执行,每个GRE包括将所述GRE内的执行与所述主机操作系统和其他GRE隔离的环境;
为由所述GRE环境管理的GRE提供安全策略,所述安全策略指定要对在所述GRE内执行的代码施加的执行限制;以及
通过对照所述安全策略监测所述GRE内的代码执行并且在确定所述执行限制适用时实施所述执行限制,来关于所述GRE实施所述安全策略。
2.根据权利要求1所述的方法,其中所述GRE引擎包括容器引擎,并且所述GRE包括相应容器,每个容器包括由所述容器引擎管理的相应进程,每个容器包括文件和配置数据的沙箱。
3.根据权利要求1所述的方法,还包括:
存储相应可执行文件的散列,所述相应可执行文件的散列由所述存储硬件存储并且由所述操作系统和/或所述GRE引擎可执行作为进程,其中所述执行限制包括所述散列中的一个或多个散列,并且其中所述监测包括将所述执行限制的所述一个或多个散列与被请求在GRE中执行的可执行文件的散列进行比较。
4.根据权利要求3所述的方法,其中所述比较是针对被请求在所述GRE中执行的可执行文件而被执行的,或者所述比较是针对已经正在所述GRE中执行的可执行文件而被执行的。
5.根据权利要求1所述的方法,还包括:通过在每次文件和/或库被请求加载以用于执行时确定所请求的所述文件和/或库是否被授权在所述GRE内执行,来执行为GRE加载可执行文件和/或库的加载器。
6.一种计算设备,包括:
处理硬件;
存储硬...
【专利技术属性】
技术研发人员:B·M·舒尔茨,金舒曼,D·J·林斯利,C·G·杰弗里斯,G·维斯瓦纳坦,S·D·安德森,F·J·史密斯,H·R·普拉帕卡,周剑明,M·S·晨切弗,D·B·普罗伯特,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。