[發(fā)明專利]虛擬化計算機程序中的安全有效
| 申請?zhí)枺?/td> | 201280059388.1 | 申請日: | 2012-10-03 |
| 公開(公告)號: | CN103959247B | 公開(公告)日: | 2017-02-22 |
| 發(fā)明(設(shè)計)人: | 喬·伊浦斯坦 | 申請(專利權(quán))人: | 思科技術(shù)公司 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455 |
| 代理公司: | 北京東方億思知識產(chǎn)權(quán)代理有限責(zé)任公司11258 | 代理人: | 李曉冬 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 虛擬 計算機 程序 中的 安全 | ||
1.一種計算機實現(xiàn)的方法,包括:
對管理程序或虛擬機操作系統(tǒng)的超級調(diào)用接口實施存儲器事件接口,以截取與包含計算機程序的存儲器頁面的寫入相關(guān)聯(lián)的頁面故障;
接收由來賓域試圖寫入在存儲器頁面權(quán)限系統(tǒng)中被標(biāo)記為不可執(zhí)行的存儲器頁面所引起的頁面故障;
確定由所述管理程序或虛擬機操作系統(tǒng)維護(hù)的、針對所述存儲器頁面的第一組存儲器頁面權(quán)限;
確定獨立于所述管理程序或虛擬機操作系統(tǒng)而維護(hù)的、針對所述存儲器頁面的第二組存儲器頁面權(quán)限;
基于第一組和第二組,確定針對所述存儲器頁面的特定存儲器頁面權(quán)限;
基于所述特定存儲器頁面權(quán)限來處理頁面故障,該處理包括執(zhí)行至少一個與管制所述來賓域?qū)λ龃鎯ζ黜撁娴脑L問相關(guān)聯(lián)的安全功能。
2.根據(jù)權(quán)利要求1所述的方法,其中所述管理程序或虛擬機操作系統(tǒng)是INTEL?XEN操作系統(tǒng)或VMWARE操作系統(tǒng)中的任何一個。
3.根據(jù)權(quán)利要求1所述的方法,其中所述管理程序或虛擬機操作系統(tǒng)包括與來賓操作系統(tǒng)和安全邏輯相集成的專用管理程序,并且其中所述安全邏輯實現(xiàn)用于在其上運行安全邏輯的計算機中的一個或多個硬件元件的一個或多個寄存器的第二組存儲器頁面權(quán)限。
4.根據(jù)權(quán)利要求3所述的方法,還包括:確定硬件元件中的一個硬件元件的設(shè)備類型,以及基于所述設(shè)備類型確定用于所述硬件元件中的一個硬件元件的特定存儲器頁面權(quán)限。
5.根據(jù)要求3所述的方法,還包括:設(shè)定所述計算機的輸入/輸出存儲器管理單元(IOMMU)的頁面表的一個或多個權(quán)限值,以指示這些硬件元件是不可執(zhí)行的。
6.根據(jù)權(quán)利要求3所述的方法,還包括:
將第二組存儲器頁面權(quán)限中的一個或多個與所述計算機的一個或多個硬件元件的存儲器相關(guān)聯(lián);
阻斷對被標(biāo)記為可執(zhí)行的一個或多個硬件元件的存儲器進(jìn)行寫入的一個或多個硬件直接存儲器訪問(DMA)請求。
7.根據(jù)權(quán)利要求1所述的方法,其中所述存儲器事件接口實現(xiàn)設(shè)定、取得和事件操作,該設(shè)定、取得和事件操作分別與以下各項相關(guān)聯(lián):設(shè)定對于存儲器的頁面指示所述頁面是否可讀、可寫、可執(zhí)行的比特位;取得所述第二組存儲器頁面權(quán)限的值;以及響應(yīng)于對被標(biāo)記有所述第二組存儲器頁面權(quán)限的存儲器頁面的意圖的、未預(yù)料到的使用,接收頁面故障。
8.根據(jù)權(quán)利要求1所述的方法,其中所述特定存儲器頁面權(quán)限是針對所述存儲器頁面的、在第一組和第二組中呈現(xiàn)的最大約束的存儲器頁面權(quán)限。
9.根據(jù)權(quán)利要求8所述的方法,其中所述第一組包括CPU硬件存儲器頁面權(quán)限,并且所述方法還包括:響應(yīng)于確定所述特定存儲器頁面權(quán)限在所述CPU硬件存儲器頁面權(quán)限中未被支持,抑制設(shè)定第一組的權(quán)限的意圖。
10.根據(jù)權(quán)利要求1所述的方法,還包括:
確定所述特定存儲器頁面權(quán)限是可讀的、可執(zhí)行的(RX);
在所述處理中,在沒有喚醒一個或多個其它事件管理器或執(zhí)行特殊的消息傳送或其他故障處理的情況下,將所述特定存儲器頁面權(quán)限改變?yōu)榭勺x的、可寫的(RW)。
11.根據(jù)權(quán)利要求1所述的方法,還包括:
接收標(biāo)識了所述存儲器頁面的信息;
確定數(shù)據(jù)存儲庫中的能夠與所述存儲器頁面相對應(yīng)的一組一個或多個已知的存儲器頁面;
為所述存儲器頁面準(zhǔn)備在所述存儲器頁面中的第一范圍的字節(jié)內(nèi)的散列值;
將該散列值與數(shù)據(jù)存儲庫中的其他散列值進(jìn)行比較;
接收對于基于第一散列值匹配的候選頁面的引用的第一子集;
選擇該多個引用中的特定一個作為所述存儲器頁面的匹配,并且基于所述數(shù)據(jù)存儲庫中與該多個引用中的特定一個相關(guān)聯(lián)的元數(shù)據(jù)來處理所述存儲器頁面。
12.根據(jù)權(quán)利要求11所述的方法,還包括:對所述存儲器頁面與在所述第一子集中引用的各個頁面執(zhí)行逐字節(jié)的比較。
13.根據(jù)權(quán)利要求11所述的方法,還包括:對所述存儲器頁面與所述數(shù)據(jù)存儲庫中維護(hù)的星形列表中的各個頁面執(zhí)行逐字節(jié)的比較。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于思科技術(shù)公司,未經(jīng)思科技術(shù)公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201280059388.1/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:用于提供應(yīng)用集市的方法和裝置
- 下一篇:偏振器電阻式觸摸屏
