[发明专利]用于虚拟系统上动态切换和实时安全性控制的方法和设备

说明书

技术领域

本发明的实施例一般涉及主处理器发送和接收的网络业务，更具 体地说，涉及利用虚拟化技术平台上的第二处理器以发送/接收和分类 消息的系统和方法。在将可疑消息路由到在主处理器上运行的多个虚 拟机之一前，第二处理器要将可疑消息转发到虚拟设备以做进一步调 查。

背景技术

存在的各种机制可在平台上实现虚拟化。虚拟化技术(VT)可在例 如从Intel Corporation提供的平台上以多种方式实现。VT允许操作系 统基于硬件的虚拟化。一个平台的实现使得该架构分成两个虚拟化操 作系统(OS)：服务OS(SOS)和能力OS(COS)。

服务OS也可称为虚拟设备。能力OS类似于在平台客户端上的 OS，即用户环境。此架构的一个目的是从用户范围移除若干安全性功 能并转移到服务OS内保护更严的区域。服务OS置于网络与用户环 境之间以提供另外级别的安全性。

在具有SOS和COS的此特定VT模型中，平台仅限于虚拟设备 或SOS外的一个分区，即，COS。SOS和COS可以为此类型架构上 的仅有分区。在此架构中，为维护更高级别的网络消息安全性，所有 网络业务均通过SOS。

附图说明

从下面的本发明详细说明中将明白本发明的特性和优点，其中：

图1是根据本发明实施例，执行另外的安全性功能的示范平台方 框图；

图2是根据本发明实施例，示出用于在平台上控制安全性和通信 的示范方法的流程图；以及

图3是示出根据本发明实施例的示范客户端平台的方框图。

具体实施方式

本发明的一个实施例是与在虚拟化平台上添加安全性层以帮助检 测和防止VT平台受到例如恶意rootkit有关的系统和方法。本发明的 实施例也可在平台中维护更高安全性的同时实现增强的性能。在至少 一个实施例中，本发明要使安全性设备(SOS)脱离从网络到COS的直 接路径。SOS现在只处理网络业务子集。大部分网络业务可由平台上 的单独处理器路由。

说明书对本发明“一个实施例”或“实施例”的引用指结合该实 施例描述的特定特性、结构或特征包括在本发明的至少一个实施例 中。因此，在说明书通篇各个位置出现的“在一个实施例”短语不一 定全部指同一实施例。

为便于解释，陈述了特定的配置和细节以便提供本发明的详尽理 解。但是，本领域的技术人员将明白，实践本发明的实施例可无需本 文所述特定细节。此外，熟知的特性可忽略或简化以便不会混淆本发 明。此说明通篇可提供各种示例。这些示例只是本发明特定实施例的 说明。本发明的范围并不限于给出的示例。

在现有系统中，通过SOS集中数据(funneling data)是在双向固 定路径中进行：数据从SOS移到COS或用户环境；或者数据在从COS 到SOS的路径中移动并随后在适当时回落到网络上。在本发明的实施 例中，多个虚拟分区(COS)可在平台上使用，并且数据通信可通过利 用管理程序虚拟机管理器而路由到不止一个COS。基于通过管道进行 发送的数据或分组类型，可实现安全性以选择性地路由数据。选择性 地路由数据将降低开销，提高性能。

图1是根据本发明实施例，执行另外的安全性功能的示范平台方 框图。在本发明实施例中，平台100具有耦合到安全性虚拟设备103 的虚拟机管理器(VMM)101。VMM101也耦合到单独的处理器105， 如具有主动管理技术(iAMT)的处理器。iAMT105耦合到网络 接口控制器/卡(NIC)107以便与网络通信。平台可具有由VMM101 管理的多个虚拟系统(例如，虚拟机或能力操作系统(capability operating system))110、120和130。

本发明的实施例通过组网支持者(Networking Advocate)121、组 网主管(Networking Director)125和基于固件的NIC驱动127控制。 在现有系统中，NIC可能已由SOS或虚拟设备103拥有和控制。在现 在平台架构中，NIC是要由SOS拥有的唯一硬件。在本发明的实施例 中，NIC现在由平台的iAMT组件拥有。