【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、基于管理程序的虚拟化技术将计算机系统的物理资源的部分(例如,处理器内核和/或时间、物理存储器区域、存储资源等)分配到单独的分区中,并且在这些分区中的每个分区内执行软件。因此,基于管理程序的虚拟化技术促进创建虚拟机(vm)访客,每个虚拟机(vm)访客执行访客软件,诸如操作系统(os)和在其中执行的其它软件。虽然基于管理程序的虚拟化技术可以采取各种形式,但许多虚拟化技术使用的架构包括直接访问硬件并且在与系统中的所有其它软件分离的执行环境中操作的管理程序、执行主机os和主机虚拟化堆栈的主机分区,以及与vm访客相对应的一个或多个访客分区。主机分区内的主机虚拟化堆栈管理访客分区,并且因此管理程序授予主机分区比对访客分区更高等级的、对管理程序和硬件资源的访问权限。
2、以来自microsoft corporation的hyper-v作为一个示例,hyper-v管理程序是hyper-v堆栈的最低层。hyper-v管理程序为vm访客提供调度和执行虚拟处理器的基本功能。hyper-v管理程序拥有硬件虚拟化能力的所有权(例如,来自advanced micro devices(amd)的二级地址转换(slat)处理器扩展,诸如快速虚拟化索引(rvi),或来自intel的扩展页表(ept);将支持直接存储器访问的i/o总线连接到主存储器的输入/输出(i/o)存储器管理单元(iommu);处理器虚拟化控制)。hyper-v管理程序也提供了接口集,以允许主机分区内的hyper-v主机堆栈利用这些虚拟化能力来管理vm访客。hype
3、许多基于管理程序的虚拟化技术支持将物理设备直接分配给vm访客。例如,使用离散设备分配(dda)技术,hyper-v管理程序能够将整个外围组件快速互连(pcie)设备传递给vm访客。物理设备的直接分配允许从vm访客内对像非易失性存储器快速(nvme)存储装置或图形卡的设备进行高性能访问,同时使vm访客能够利用设备的本机驱动程序。
4、除了将访客分区彼此隔离之外,一些基于管理程序的虚拟化技术还操作以将vm访客状态(例如,寄存器、存储器)与主机分区(以及在其中执行的主机os)隔离,并且在一些情况下也与管理程序本身隔离。这些技术中的许多技术也可以将vm访客状态与管理在其上托管vm访客的计算系统的实体隔离。为了实现上述内容,这些虚拟化技术至少在管理程序和主机虚拟化堆栈之间引入安全边界。该安全边界限制了主机os(以及相应地,主机虚拟化堆栈)可以访问哪些vm访客资源,以确保vm访客的完整性和机密性。这种vm访客在本文中被称为机密vm(cvm)。启用cvm访客的、基于硬件的技术的示例包括基于硬件的技术,诸如来自intel的软件保护扩展(sgx)或来自amd的安全加密虚拟化安全嵌套分页(sev-snp)。基于软件的cvm访客也是可能的。
5、本文所要求保护的主题不限于解决任何缺点或仅在诸如上文所描述的环境中操作的实施例。相反,提供此
技术介绍
仅是为了说明可以实践本文所描述的一些实施例的一个示例
技术实现思路
1、在一些方面,本文所描述的技术涉及方法,该方法包括在访客分区的第一访客特权上下文处:标识与主机计算机系统相关联的物理设备到访客分区的直接分配,该访客分区包括第一访客特权上下文和被限制访问与第一访客特权上下文相关联的存储器的第二访客特权上下文,其中主机os不可访问与访客分区相关联的存储器区域;基于策略来确定允许将物理设备直接分配给访客分区;以及允许物理设备和第二访客特权上下文之间的通信。
2、在一些方面,本文所描述的技术涉及计算机系统,该计算机系统包括:处理系统;以及计算机存储介质,存储计算机可执行指令,该计算机可执行指令可由处理系统执行以使计算机系统至少在访客分区的第一访客特权上下文处:标识与主机计算机系统相关联的物理设备到访客分区的直接分配,该访客分区包括第一访客特权上下文和被限制访问与第一访客特权上下文相关联的存储器的第二访客特权上下文,其中主机os不可访问与访客分区相关联的存储器区域;基于策略来确定允许将物理设备直接分配给访客分区;以及允许物理设备和第二访客特权上下文之间的通信。
3、在一些方面,本文所描述的技术涉及计算机程序产品,其包括存储计算机可执行指令的计算机存储介质,该计算机可执行指令可由处理系统执行以使计算机系统至少在访客分区的第一访客特权上下文处:标识与主机计算机系统相关联的物理设备到访客分区的直接分配,该访客分区包括第一访客特权上下文和被限制访问与第一访客特权上下文相关联的存储器的第二访客特权上下文,其中主机os不可访问与访客分区相关联的存储器区域;基于策略来确定允许将物理设备直接分配给访客分区;以及允许物理设备和第二访客特权上下文之间的通信。
4、提供本
技术实现思路
是为了以简化的形式介绍一系列概念,这些概念将在下面的具体实施方式中被进一步描述。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在被用作确定所要求保护的主题的范围的辅助。
【技术保护点】
1.一种方法,包括在访客分区的第一访客特权上下文处:
2.根据权利要求1所述的方法,其中允许所述物理设备和所述第二访客特权上下文之间的通信包括:在由所述第二访客特权上下文使用的虚拟总线上暴露所述物理设备。
3.根据权利要求1所述的方法,其中允许所述物理设备和所述第二访客特权上下文之间的通信包括:
4.根据权利要求3所述的方法,其中:
5.根据权利要求3所述的方法,其中:
6.根据权利要求1所述的方法,其中基于以下至少一项,所述主机操作系统不能够访问与所述访客分区相关联的所述存储器区域:
7.根据权利要求1所述的方法,还包括:在所述第一访客特权上下文处,将所述访客分区的访客物理地址空间划分为私有物理地址空间区域和共享物理地址空间区域。
8.根据权利要求7所述的方法,还包括:在所述第一访客特权上下文处:
9.根据权利要求7所述的方法,还包括:在所述第二访客特权上下文处,基于以下来向所述物理设备发送数据:
10.根据权利要求7所述的方法,还包括:在所述第一访客特权上下文处,将所述
11.根据权利要求1所述的方法,其中所述策略基于以下一项或多项将所述物理设备标识为被允许的:设备类型、模型标识符、供应方标识符、或设备标识符。
12.根据权利要求1所述的方法,其中所述物理设备是第一物理设备,所述方法还包括,在所述第一访客特权上下文处:
13.根据权利要求12所述的方法,其中拒绝所述第二物理设备和所述第二访客特权上下文之间的通信包括:阻塞由所述第二访客特权上下文使用的虚拟总线上的所述第二物理设备。
14.根据权利要求12所述的方法,其中拒绝所述第二物理设备和所述第二访客特权上下文之间的通信包括:
15.一种计算机系统,包括:
...【技术特征摘要】
【国外来华专利技术】
1.一种方法,包括在访客分区的第一访客特权上下文处:
2.根据权利要求1所述的方法,其中允许所述物理设备和所述第二访客特权上下文之间的通信包括:在由所述第二访客特权上下文使用的虚拟总线上暴露所述物理设备。
3.根据权利要求1所述的方法,其中允许所述物理设备和所述第二访客特权上下文之间的通信包括:
4.根据权利要求3所述的方法,其中:
5.根据权利要求3所述的方法,其中:
6.根据权利要求1所述的方法,其中基于以下至少一项,所述主机操作系统不能够访问与所述访客分区相关联的所述存储器区域:
7.根据权利要求1所述的方法,还包括:在所述第一访客特权上下文处,将所述访客分区的访客物理地址空间划分为私有物理地址空间区域和共享物理地址空间区域。
8.根据权利要求7所述的方法,还包括:在所述第一访客特权上下文处:
9.根据权利要求7所述的方法,还包括:在所述第二访客特权上下文...
【专利技术属性】
技术研发人员:J·蔺,J·S·沃尔格穆特,M·B·埃伯索尔,A·班达里,S·A·韦斯特,E·C·克莱门斯,M·H·凯利,崔得暄,A·马伊内蒂,S·E·斯蒂芬森,C·C·佩雷斯瓦加斯,A·J·D·德利戈纳特拉沃德,K·瓦斯瓦尼,A·D·格雷斯特,S·M·普罗诺沃斯特,D·A·赫普金,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。