[发明专利]虚拟机的虚拟安全模式

权利要求书

1.一种用于虚拟机的虚拟安全模式的方法，包括：

针对虚拟机(106)实现(402)虚拟安全模式，所述虚拟安全模式具有多个虚拟信任等级(204(0)-204(x))，所述多个虚拟信任等级(204(0)-204(x))被组织为层次结构以使得更高等级的虚拟信任等级(204(x))比更低虚拟信任等级(204(0))具有更多特权，其中每一个虚拟信任等级具有与其相关联的独立的存储器访问保护集合，每一个虚拟信任等级具有与其相关联的独立的虚拟处理器状态，并且每一个虚拟信任等级具有与其相关联的独立的中断子系统；

允许(404)所述虚拟机(106)的虚拟处理器(202)在所述多个虚拟信任等级(204(0)-204(x))中的任何虚拟信任等级中运行，所述虚拟处理器(202)每次仅在一个虚拟信任等级中运行，且所述虚拟处理器(202)正在其中运行的虚拟信任等级是活动虚拟信任等级；以及

通过管理所述虚拟机(106)的虚拟机管理器(102)允许(406)在所述虚拟处理器(202)上运行的程序基于为所述活动虚拟信任等级配置的存储器访问保护(206(0)-206(x))来访问所述虚拟机的存储器。

2.如权利要求1所述的方法，其特征在于，所述存储器访问保护(206(0)-206(x))包括针对所述虚拟机(106)的虚拟存储器空间中的多个存储器页中的每个页的存储器访问保护(206(0)-206(x))。

3.如权利要求2所述的方法，其特征在于，允许所述程序访问存储器包括：

接收对存储器地址的特定类型的访问的请求，所述特定类型的访问包括读访问、写访问、或执行访问；

检查所述多个存储器页中包括所述存储器地址的一个存储器页的活动虚拟信任等级的存储器访问保护(206(0)-206(x))是否指示所述特定类型的访问被允许；以及

仅响应于所述一个存储器的活动虚拟信任等级的存储器访问保护(206(0)-206(x))指示所述特定类型的访问被允许而允许所述程序执行对所处存储器地址的所述特定类型的访问。

4.如权利要求1所述的方法，其特征在于，进一步包括：

通过所述虚拟机管理器(102)允许在所述虚拟处理器(202)正在所述更高虚拟信任等级中操作时运行的程序改变针对所述更低虚拟信任等级的存储器访问保护(206(0)-206(x))；以及

通过所述虚拟机管理器(102)阻止在所述虚拟处理器(202)正在所述更低虚拟信任等级中操作时运行的程序改变针对所述更高虚拟信任等级的存储器访问保护(206(0)-206(x))。

5.如权利要求1所述的方法，其特征在于，进一步包括响应于一个或多个指令被执行、响应于接收到以所述更高虚拟信任等级为目标的中断、或者响应于访问所述更高虚拟信任等级的受保护地址或受保护组件的操作，将所述活动虚拟信任等级从所述更低虚拟信任等级切换到所述更高虚拟信任等级。

6.如权利要求1所述的方法，其特征在于，所述活动虚拟信任等级包括所述更高虚拟信任等级，所述方法进一步包括当接收到针对所述更低虚拟信任等级的中断时通知所述活动虚拟信任等级的程序。

7.一种计算设备，具有一个或多个处理器、操作系统(112)、以及实现具有多个虚拟信任等级(204(0)-204(x))的虚拟安全模式的虚拟机管理器(102)，其中每一个虚拟信任等级具有与其相关联的独立的存储器访问保护集合，每一个虚拟信任等级具有与其相关联的独立的虚拟处理器状态，并且每一个虚拟信任等级具有与其相关联的独立的中断子系统，针对一个或多个虚拟处理器(202)中的每个虚拟处理器，所述虚拟机管理器(102)允许(404)该虚拟处理器(202)基于所述多个虚拟信任等级(204(0)-204(x))中该虚拟处理器(202)正在其中运行的一个虚拟信任等级配置的存储器访问保护(206(0)-206(x))来访问物理存储器，所述多个虚拟信任等级(204(0)-204(x))中该虚拟处理器(202)正在其中运行的所述一个虚拟信任等级是活动虚拟信任等级。