[发明专利]保护代理和特权模式

权利要求书

1.一种对保护代理进行保护的方法，所述方法包括：

在以虚拟机监控程序特权模式操作的虚拟机监控程序(108)处接收(902) 使得存储器范围(206、306)不可从操作系统特权模式(126)更改或访问的 请求；

使得(904)所述存储器范围(206、306)不可从所述操作系统特权模式 (126)更改或访问；以及

运行(908)驻留在所述存储器范围(206、306)内的保护代理(144)，

其中，以保护代理特权模式操作的所述保护代理(144)被配置成接收(906) 描述在由所述虚拟机监控程序创建的第一虚拟分区中操作的一个或多个资源 (120)的强制实施策略，所述一个或多个资源可从所述操作系统特权模式 (126)访问，并且响应于接收到所述强制实施策略，使用所述强制实施策略 并且从驻留在由所述虚拟机监控程序创建的、不可从所述操作系统特权模式访 问的第二虚拟分区中的所述存储器范围中确定(910)在所述第一虚拟分区中 操作的所述一个或多个资源(120)中的一个或多个是否已被更改，所述保护 代理特权模式比所述操作系统特权模式更有特权但比所述虚拟机监控程序特 权模式的特权少。

2.如权利要求1所述的方法，其特征在于，还包括设置(904)定时器以 运行所述保护代理(144)。

3.如权利要求2所述的方法，其特征在于，所述定时器指示所述虚拟机 监控程序(108)以规律的间隔运行所述保护代理(144)。

4.如权利要求1所述的方法，其特征在于，还包括响应于由所述保护代 理(144)确定所述一个或多个资源(120)中的一个或多个已被更改来关闭(912) 与所述操作系统特权模式(126)相关联的操作系统(114)。

5.如权利要求1所述的方法，其特征在于，所述一个或多个资源(120) 包括系统服务分派表(SSDT)、中断分派表(IDT)或全局描述符表(GDT)。

6.如权利要求1所述的方法，其特征在于，还包括在所述虚拟机监控程 序(108)处并在所述运行(908)保护代理(144)之后接收(914)所述保护 代理(144)已完成运行的通知。

7.如权利要求1所述的方法，其特征在于，还包括响应于来自所述操作 系统特权模式(126)的对所述存储器范围(206、306)或所述保护代理(144) 的访问尝试来关闭与所述操作系统特权模式(126)相关联的操作系统(114)。

8.如权利要求1所述的方法，其特征在于，还包括在所述运行(908)保 护代理(144)和不运行所述保护代理(144)之间循环(916)，从而使得所 述保护代理(144)至少在其运行时不可从所述操作系统特权模式(126)更改 或访问。

9.一种对保护代理进行保护的方法，包括：

将一个或多个真实计算处理器(104(a)、104(b))虚拟化(1002)为虚拟 计算处理器(506、508、510)，所述虚拟计算处理器(506、508、510)包括：

一个或多个操作系统虚拟处理器(506、508)，所述操作系统虚拟处理器 以虚拟机监控程序特权模式操作，与由虚拟机监控程序创建的第一虚拟分区相 关联，并且各自具有更改其自己的操作系统存储器并使用以操作系统特权模式 操作的所述一个或多个真实计算处理器(104(a)、104(b))的处理带宽(600) 的一部分的特权；以及

至少一个保护代理虚拟处理器(510)，所述保护代理虚拟处理器以保护 代理特权模式操作，与由所述虚拟机监控程序创建的第二虚拟分区相关联，并 且具有更改其自己的保护代理存储器并使用所述一个或多个真实计算处理器 (104(a)、104(b))的处理带宽(600)的不同部分的特权；以及

使得(1004)所述保护代理虚拟处理器(510)执行保护代理(144)，所 述保护代理(144)有效地确定所述操作系统存储器的一部分是否已被更改；

其中，所述保护代理特权模式比所述操作系统特权模式更有特权但比所述 虚拟机监控程序特权模式的特权少。