[发明专利]保护虚拟机的状态信息

说明书

处理系统[100]包括处理器[102]，所述处理器实施寄存器[115、116]以界定在所述处理器上运行的虚拟机(VM)[200]的状态。所述处理器检测所述VM的退出状况[605]。所述处理系统还包括存储器元件[103]，以用于响应于所述处理器检测到退出状况而将所述寄存器的内容存储在第一数据结构[120]中，所述第一数据结构与所述VM的管理程序[202]隔离。所述VM要将所述寄存器的子集的内容选择性地暴露[625]给所述管理程序。

背景

公开领域

本公开一般涉及处理系统，且尤其涉及处理系统中的信息安全。

相关技术的描述

单个处理器的硬件可以用来实施模拟单独和独立处理器的一个或多个虚拟机(VM)。例如，处理单元、存储器和处理器中的其他硬件可以一起用于实施多个VM，其中每个VM充当可以在其被加载到处理单元中时执行完整的操作系统的完整系统平台。处理器实施管理程序以在VM之间划分硬件，例如通过将存储器的各部分分配给不同的VM、加载VM以在处理单元上运行或者处理VM退出进程。管理程序隔离不同的VM，以保护VM的安全性和完整性。例如，常规的管理程序通过为每个VM界定单独的存储器页表或其他逻辑实体来将不同的VM彼此隔离。然而，与不同VM相关联的数据对于管理程序保持可见，且因此管理程序可能成为安全漏洞。因此，在例如VM所有者不相信或不能相信管理程序和云环境的公共云模型的某些环境中，允许VM数据对管理程序可见而不受限制的信任模型是不期望的。例如，不道德的用户可能能够识别管理程序中的缺陷或错误，所述缺陷或错误允许用户修改和控制处理系统上的管理程序或其他VM的操作，这可能暴露针对其他VM存储的私人数据。

附图简述

通过参考附图，本公开可以被更好地理解，并且其许多特征和优点对于本领域技术人员变得明显。在不同的图中使用相同的参考符号来指示相似或相同的项目。

图1示出了根据一些实施方案的提供与VM相关联的状态信息的隔离的处理系统。

图2示出了根据一些实施方案的处理系统针对VM提供信息的密码隔离的示例性操作。

图3是根据一些实施方案的虚拟机通信块(VMCB)的框图。

图4示出了根据一些实施方案的处理系统针对VM提供信息的密码隔离并且选择性地暴露状态信息的一部分的示例性操作。

图5示出了根据一些实施方案的处理系统解密VM的信息的示例性操作。

图6是根据一些实施方案的用于终止处理器上VM的执行的方法的图。

图7是根据一些实施方案的用于启动处理器上VM的执行的方法的图。

图8是根据一些实施方案的用于响应于自动退出状况而终止处理器上VM的执行的方法的图。

图9是根据一些实施方案的用于基于退出进程的类型来处理VM的退出进程的方法的流程图。

详述

用于在处理系统中实施虚拟机(VM)的软件和由VM生成的数据(可以统称为VM信息)可以通过在处理系统的存储器访问路径中采用硬件加密模块以密码地隔离安全的VM信息来进行保护。硬件加密模块将由VM写入到存储器的数据加密，或者将由VM从存储器读取的数据解密。因此，在没有正确的加密/解密密钥的情况下，由VM存储在存储器中的数据不可被有意义地访问，这对于管理程序是不可用的。然而，在没有本文描述的额外安全措施的情况下，界定运行VM时处理器的状态的寄存器值对于管理程序保持可见。因此，管理程序可能易受到状态信息的渗漏或控制流攻击，这会修改状态信息以引起意外的行为。只需从管理程序隐藏寄存器值(例如，通过将寄存器值加密)将极大地限制VM的功能或使VM不可操作，这是因为一些状态寄存器的内容必须可用于管理程序以实施由VM启动的某些类型的操作。