在执行中的虚拟计算机中,在预先设定的指定的应用程序成为执行对象的情况下,以该执行中的虚拟计算机为母虚拟计算机,以分叉方式生成用于执行该指定的应用程序的子虚拟计算机。并且,生成的子虚拟计算机设定为不执行该指定的应用程序以外的应用程序。另一方面,母虚拟计算机代替该指定的应用程序而执行伪应用程序。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及虚拟计算机 系统,特别涉及用于保护指定的应用程序免受恶意软件的攻击的技术。
技术介绍
以往,已知有如下虚拟计算机系统通过复制作为母机的虚拟计算机,生成作为子机的虚拟计算机,将所生成的虚拟计算机动态地执行控制。例如,在专利文献I中,记载有考虑在各个虚拟计算机上执行的任务的重要性而将动作的虚拟计算机切换来执行的虚拟计算机系统,例如,在专利文献2中,记载有将执行的虚拟计算机切换来执行、以执行以优先级最高的任务为执行对象的虚拟计算机的虚拟计算机系统。现有技术文献专利文献专利文献I :特开2000 - 242512号公报专利文献2 W02009/133669号公报专利技术概要专利技术要解决的问题在虚拟计算机系统中,在作为执行对象的应用程序群中有时混合存在被认证为不包含恶意软件的应用程序(以下,称作“已认证应用程序”)、以及有可能包含恶意软件的应用程序(以下,称作“未认证应用程序”)。在这样的情况下,当在未认证应用程序中包含有恶意软件时,通过执行该恶意软件,已认证应用程序可能被攻击。作为已认证应用程序被攻击的情况的例子,例如有如下情况已认证应用程序被以不适当的方法执行,应该对外部保密的信息、例如系统所保存的收费内容、个人信息、密钥等被读取。在以往的动态地生成虚拟计算机的虚拟计算机系统中,即使为了执行新的已认证应用程序而生成新的子虚拟计算机,也由于该子虚拟计算机是母虚拟计算机的复制,所以在作为母虚拟计算机的执行对象的应用程序群中包含有未认证应用程序的情况下,在子虚拟计算机中在作为执行对象的应用程序群中也包含未认证应用程序。因而,在以往的虚拟计算机系统中,在作为母虚拟计算机的执行对象的未认证应用程序中包含有恶意软件的情况下,在为了执行已认证应用程序而生成的子虚拟计算机中,已认证应用程序也会被该恶意软件攻击。
技术实现思路
所以,本专利技术是鉴于这样的问题而做出的,目的是提供一种虚拟计算机系统,在虚拟计算机当作执行对象的应用程序群中混合存在已认证应用程序和未认证应用程序的情况下,也能够将通过执行包含在未认证应用程序中的恶意软件而已认证应用程序被攻击的危险性抑制得比以往低。用于解决问题的手段为了解决上述问题,有关本专利技术的虚拟计算机系统,是具备处理器和在该处理器上执行、用于使该处理器进行多个虚拟计算机的执行控制的管理器的虚拟计算机系统,其特征在于,上述管理器具有执行检测部,用于检测在虚拟计算机中要新执行规定的应用程序;以及虚拟计算机生成部,用于在由上述处理器执行的上述执行检测部检测到在第I虚拟计算机中要新执行上述规定的应用程序的情况下,基于该第I虚拟计算机,生成用于执行上述规定的应用程序的新的第2虚拟计算机;由上述处理器执行控制的多个虚拟计算机分别具有执行控制部,该执行控制部用于在上述第2虚拟计算机中使上述处理器仅执行包括上述规定的应用程序的指定程序群,在上述第I虚拟计算机中使上述处理器代替上述规·定的应用程序而执行规定的伪程序。专利技术效果根据具备上述结构的有关本专利技术的虚拟计算机系统,在将已认证应用程序作为规定的应用程序、在指定程序群中不包含未认证应用程序的情况下,在执行已认证应用程序的子虚拟计算机中,未认证应用程序不会被执行,进而,在未认证应用程序有可能被执行的母虚拟计算机中,已认证应用程序不会被执行。因而,即使在虚拟计算机当作执行对象的应用程序中混合存在已认证应用程序和未认证应用程序的情况下,也能将通过执行包含在未认证应用程序中的恶意软件而导致已认证应用程序被攻击的危险性抑制得比以往低。附图说明图I是表示虚拟计算机系统100的主要的硬件结构的框图。图2是表示处理器101具有的动作模式的动作模式图。图3是表示在处理器101上成为执行对象的程序模块的框图。图4是保护任务对应表400的数据构造图。图5是子虚拟计算机生成处理的流程图。图6是子虚拟计算机清除处理的流程图。图7是保护任务执行处理的流程图。图8是表示在虚拟计算机系统100中执行的任务的示意图。图9是表示在处理器101上成为执行对象的程序模块的框图。图10是表示在处理器101上成为执行对象的程序模块的框图。图11的(a)是伪程序1113的程序结构图,(b)是调度程序1117的程序结构图。图12是变形子虚拟计算机生成处理的流程图。图13是变形保护任务执行处理的流程图。图14是表示在虚拟计算机系统100中执行的任务的示意图。图15是虚拟计算机系统1500的结构图。具体实施例方式<实施方式1> < 概要 >以下,作为有关本专利技术的虚拟计算机系统的一实施方式,对如下的虚拟计算机系统进行说明,该虚拟计算机系统具备处理器,该处理器具有执行应用程序的用户模式和比用户模式高级的管理员(supervisor)模式这2个程序执行模式,由以处理器的管理员模式执行的管理器对以处理器的管理员模式执行的多个操作系统进行分时执行控制。该虚拟计算机系统在执行中的虚拟计算机中要执行预先设定的、成为从恶意软件的攻击的保护对象的指定的应用程序的情况下,将该执行中的虚拟计算机作为母虚拟计算机,以分叉(fork)方式(后述)生成用于执行该指定的应用程序的子虚拟计算机。并且,将所生成的子虚拟计算机设定为该指定的应用程序以外的应用程序不被执行。另一方面,母虚拟计算机代替该指定的应用程序而执行伪应用程序。由此,即使在作为该虚拟计算机系统的执行对象的应用程序中包含有攻击上述指定的应用程序的恶意软件,该指定的应用程序也不会被恶意软件攻击。以下,参照附图对有关本实施方式I的虚拟计算机系统的结构进行说明。〈硬件结构〉图I是表示虚拟计算机系统100的主要的硬件结构的框图。如该图所示,虚拟计算机系统100作为硬件是计算机装置,由集成电路110、输入装置131、输出装置132和硬盘装置133构成。集成电路110 是将处理器 101、ROM (Read Only Memory) 102、RAM (Random AccessMemory) 103、定时器104、内部总线120、第I接口 121、第2接口 122和第3接口 123集成而得到的半导体集成电路,与输入装置131、输出装置132和硬盘装置133连接。处理器101与内部总线120连接,具有通过执行存储在R0M102或RAM103中的程序来控制R0M102、RAM103、定时器104、输入装置131、输出装置132、硬盘装置133的功能。图2是表示处理器101具备的动作模式的动作模式图。如该图所示,处理器101具有执行应用程序(图中的任务A231、任务K232、任务L233等)的用户模式230和作为执行操作系统(图中的第I OS (Operating System) 221、第2 0S222、第N 0S223等)和管理器(hypervisor)(图中的管理器211)的特权模式的管理员模式220。在用户模式230下执行的应用程序分别被在管理员模式220下执行的操作系统进行分时执行控制,在管理员模式220下执行的操作系统同样分别被在管理员模式220下执行的管理器进行分时执行控制。再次回到图1,继续说明虚拟计算机系统100的结构。R0M102和RAM103分别与内部总线120连接,存储规定处理器101的动作的程序和处理器101所利用的数据。定时器104与本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:天野克重,斋藤雅彦,
申请(专利权)人:松下电器产业株式会社,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。