[发明专利]虚拟机的虚拟安全模式

说明书

虚拟机管理器(例如管理程序)实现虚拟安全模式，该虚拟安全模式使得多个不同的虚拟信任等级对虚拟机的虚拟处理器可用。不同存储器访问保护(如读、写、和/或执行存储器的能力)可针对每个虚拟信任等级与不同的存储器部分(例如存储器页)相关联。虚拟信任等级被组织为层次结构，其中更高等级的虚拟信任等级比更低的虚拟信任等级具有更多特权，且运行在更高虚拟信任等级中的程序能够改变更低虚拟信任等级的存储器访问保护。虚拟信任等级的数量可以变化，且可针对不同虚拟机以及针对同一虚拟机中的不同虚拟处理器变化。

背景

随着计算技术发展，计算设备已经变得越来越互连。尽管这种互连提供了许多益处，但它并非没有其问题。一种这样的问题是计算设备越来越多地暴露于恶意程序。恶意程序能以不同方式操作，诸如通过从计算设备窃取信息、禁用计算设备、使用计算设备发起针对其他计算设备的攻击等等。尽管已经开发了一些技术来保护计算设备以防范恶意程序，但是这样的恶意程序仍然存在且在它们感染用户的计算机时能导致破坏用户体验。

概述

提供本概述以便以简化的形式介绍以下在详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征，也不旨在用于限制所要求保护主题的范围。

根据一个或多个方面，针对虚拟机实现虚拟安全模式，该虚拟安全模式具有多个虚拟信任等级。该多个虚拟信任等级被组织为层次结构以使得更高等级的虚拟信任等级比更低的虚拟信任等级更享有特权。允许该虚拟机的虚拟处理器在该多个虚拟信任等级中的任何虚拟信任等级中运行，但是该虚拟处理器每次仅在一个虚拟信任等级中运行，且该虚拟处理器正在其中运行的虚拟信任等级是活动虚拟信任等级。管理虚拟机的虚拟机管理器允许在虚拟处理器上运行的程序基于为该活动虚拟信任等级配置的存储器访问保护来访问该虚拟机的存储器。

根据一个或多个方面，计算设备具有一个或多个处理器、操作系统、以及实现具有多个虚拟信任等级的虚拟安全模式的虚拟机管理器。该虚拟机管理器针对一个或多个虚拟处理器中的每个虚拟处理器允许该虚拟处理器基于为该多个虚拟信任等级中的该虚拟处理器在其中运行的一个虚拟信任等级配置的存储器访问保护来访问物理存储器，该多个虚拟信任等级中的该虚拟处理器在其中运行的该一个虚拟信任等级是该活动虚拟信任等级。

附图简述

在全部附图中，使用相同的附图标记来指示相同的特征。

图1是例示出根据一个或多个实施例的实现本文所讨论的技术的示例计算设备的框图。

图2示出根据一个或多个实施例的多个虚拟信任等级的示例。

图3示出根据一个或多个实施例的实现多个虚拟信任等级的示例系统。

图4是示出根据一个或多个实施例的实现针对虚拟机的虚拟安全模式的示例过程的流程图。

图5是示出根据一个或多个实施例的针对虚拟机启用该虚拟安全模式的示例过程的流程图。

图6示出一般的包括示例计算设备的示例系统，该示例计算设备表示可以实现本文中描述的各种技术的一个或多个系统和/或设备。

详细描述

本文讨论针对虚拟机的虚拟安全模式。虚拟机管理器实现虚拟安全模式，该虚拟安全模式使得多个不同的虚拟信任等级对虚拟机的虚拟处理器可用。不同存储器访问保护(如读、写、和/或执行存储器的能力)可针对每个虚拟信任等级与不同的存储器部分(例如存储器页)相关联。虚拟信任等级被组织为层次结构，其中更高等级的虚拟信任等级比更低的虚拟信任等级具有更多特权，且运行在更高虚拟信任等级中的程序能够改变更低虚拟信任等级的存储器访问保护。虚拟信任等级的数量可以变化，且可针对不同虚拟机以及针对同一虚拟机中的不同虚拟处理器变化。