【技术实现步骤摘要】
【国外来华专利技术】安全域和不安全实体之间的存储共享
技术介绍
[0001]本专利技术总体上涉及计算机技术,并且更具体地涉及安全域和不安全实体之间的存储共享。
[0002]云计算和云存储为用户提供在第三方数据中心中存储和处理他们的数据的能力。云计算促进快速且容易地向客户供应VM的能力,而不需要客户购买硬件或为物理服务器提供地面空间。客户可以根据客户的变化的偏好或要求容易地扩展或收缩VM。通常,云计算提供商供应物理地驻留在提供商的数据中心处的服务器上的VM。客户通常关心VM中的数据的安全性,特别是因为计算提供者通常在同一服务器上存储多于一个客户的数据。客户可能期望他们自己的代码/数据与云计算提供者的代码/数据之间的安全,以及他们自己的代码/数据与在提供者的站点处运行的其他VM的代码/数据之间的安全。此外,客户可能期望来自提供者的管理员的安全性以及防止来自机器上运行的其他代码的潜在安全漏洞。
[0003]为了处理这样的敏感情况,云服务提供商可以实现安全控制以确保适当的数据隔离和逻辑存储隔离。在实现云基础架构中虚拟化的广泛使用导致云服务的客户的独特安全问题,因为虚拟化改变了操作系统(OS)与底层硬件(无论是其计算、存储或甚至联网硬件)之间的关系。这引入了虚拟化作为附加层,它本身必须被适当地配置、管理和安全。
[0004]通常,在主机管理程序的控制下作为访客运行的VM依赖于该管理程序来透明地为该访客提供虚拟化服务。这些服务包括存储器管理、指令仿真和中断处理。
[0005]在存储器管理的情况下,VM可以将其数据从盘移动(页面调入)以驻留在存 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:基于页面通过所述页面的安全存储保护指示符被清除而被标记为不安全,由计算机系统的安全接口控制使所述计算机系统的不安全实体能够访问在所述不安全实体与所述计算机系统的安全域之间共享的存储器的页面;在允许所述不安全实体访问所述页面之前,由所述安全接口控制验证所述页面的所述安全存储保护指示符被清除;并且由所述安全接口控制向所述安全域的安全实体提供对所述页面的访问,而不检查所述页面的所述安全存储保护指示符。2.如权利要求1所述的方法,进一步包括:在向所述安全实体提供对所述页面的访问之前,由所述安全接口控制验证由所述不安全实体建立并且由所述安全实体使用的动态地址转换映射未改变。3.如权利要求1所述的方法,进一步包括:由所述安全接口控制从所述安全实体接收建立对所述页面的共享访问的请求;由所述安全接口控制确定所述页面当前是否通过所述安全存储保护指示符被设置而被标识为安全的并且所述页面被注册到所述安全实体的所述安全域;并且基于确定所述页面被标识为安全的并且被注册到所述安全实体的所述安全域,由所述安全接口控制将所述页面注册到所述安全域作为共享的。4.如权利要求3所述的方法,进一步包括:基于确定所述页面当前被标识为安全、注册到所述安全实体的所述安全域、并且所述页面当前未被锁定,由所述安全接口控制锁定所述页面;并且由所述安全接口控制阻止不同上下文中的所述安全实体或所述安全接口控制在所述页面被锁定时访问所述页面。5.如权利要求4所述的方法,进一步包括:当所述页面被锁定时,由所述安全接口控制执行所述页面的一个或多个授权检查或状态更新;并且基于完成所述页面的所述一个或多个授权检查或状态更新,由所述安全接口控制解锁所述页面。6.如权利要求4所述的方法,进一步包括:基于确定在接收建立对所述页面的共享访问的所述请求之前所述页面已被锁定,将繁忙指示符发送到所述安全实体。7.如权利要求1所述的方法,其中,通过区安全表来检查和更新所述安全域,所述区安全表包括与所述页面相关联的安全域标识符以及与所述页面相关联的虚拟地址映射数据。8.如权利要求1所述的方法,其中,所述安全存储保护指示符包括用于所述存储器的多个页面中的每一页面的所述计算机系统的硬件中的位。9.如权利要求1所述的方法,其中,所述安全接口控制包括固件、硬件、或固件与硬件的组合;所述不安全实体包括管理程序;并且所述安全实体包括虚拟机,所述虚拟机是由所述管理程序托管在所述安全域中的安全访客。10.一种系统,包括:存储器;以及
被配置为执行多个操作的处理单元的安全接口控制,所述多个操作包括:基于页面通过所述页面的安全存储保护指示符被清除而被标记为不安全,使得不安全实体能够访问在所述不安全实体与所述系统的安全域之间共享的所述存储器的页面;在允许所述不安全实体访问所述页面之前,验证所述页面的所述安全存储保护指示符被清除;并且向所述安全域的安全实体提供对所述页面的访问,而不检查所述页面的所述安全存储保护指示符。11.如权利要求10所述的系统,其中,所述安全接口控制被配置为执行操作,所述操作包括:在向所述安全实体提供对所述页面的访问之前,验证由所述不安全实体建立并且由所述安全实体使用的动态地址转换映射未改变。12.如权利要求10所述的系统,其中,所述安全接口控制被配置为执行操作,所述操作包括:从所述安全实体接收对建立对所述页面的共享访问的请求;确定所述页面当前是否通过所述安全存储保护指示符被设置而被标识为安全的并且所述页面被注册到所述安全实体的所述安全域;并且基于确定所述页面被标识为安全的并且被注册到所述安全实体的所述安全域,将所述页面注册到所述安全域作为共享的。13.如权利要求12所述的系统,其中,所述安全接口控制被配置为...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。