[发明专利]一种虚拟机多核启动方法、虚拟机及处理器芯片

说明书

本发明的实施例公开一种虚拟机多核启动方法、虚拟机及处理器芯片，涉及安全虚拟机技术领域。所述虚拟机多核启动方法，包括：虚拟机的启动处理器运行操作系统，将所述虚拟机的应用处理器的操作系统启动执行地址写入预设跳转表中；所述跳转表只能由所述虚拟机读写；所述启动处理器向所述应用处理器发送操作系统启动信号；所述应用处理器收到所述操作系统启动信号后，读取所述跳转表中记录的应用处理器的操作系统启动执行地址，启动操作系统。本发明通过增加一个只能由虚拟机读写的MSR寄存器来存储AP启动地址的相关信息，保证了整个AP启动地址的读写过程对于虚拟机完全可控，避免了VMM设置恶意的AP的OS指令地址攻击虚拟机的安全风险。

技术领域

本发明涉及安全虚拟机技术领域，尤其涉及一种虚拟机多核启动方法、虚拟机及处理器芯片。

背景技术

虚拟机(Virtual Machine，VM)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。当虚拟机为多核处理器时，虚拟机的应用处理器(Application Processor，AP)想要启动基本输入输出系统(Basic Input OutputSystem，BIOS)，或者从BIOS阶段过渡到操作系统(Operating System，OS)阶段的话，需要虚拟机的启动处理器(BootStrap Processor，BSP)给AP发送启动信号，AP根据所述启动信号，获取自身的BIOS启动地址或OS启动地址。

传统的虚拟机的多核启动方法如图1所示，当虚拟机运行在多处理器模式下的时候，该方法主要包括步骤：

S101：VMM设置虚拟机的启动处理器；

S102：虚拟机的BSP先进入基本输入输出系统BIOS阶段，根据BSP的VMSA里的地址执行BIOS代码；

S103：BSP向虚拟机的应用处理器发送第一启动信号，通知AP启动BIOS；其中，所述第一启动信号中包含AP的BIOS启动地址；本文中，启动地址为第一条指令的存储地址；

S104：VMM拦截BSP向AP发送的第一启动信号，将AP的BIOS启动地址设置到AP的VMSA；

S105：AP从AP的VMSA里记录的AP的BIOS启动地址处执行BIOS代码；

S106：AP完成BIOS阶段的任务，停止运行并停留在BIOS阶段。而此时虚拟机的BSP则会从BIOS阶段过渡到操作系统(Operating System，OS)阶段。

S107：BSP运行OS启动代码；

S108：BSP向AP发出第二启动信号；其中，所述第二启动信号中包含AP的OS启动地址；

S109：VMM拦截BSP向AP发送的第二启动信号，将AP的OS启动地址设置到AP的VMSA；

S110：AP从AP的VMSA里记录的AP的OS启动地址处执行OS代码。

本步骤中，AP从自身的VMSA中拿到AP的OS阶段的第一条指令地址，然后跳转到这条目标指令，由于跳转到的目标指令是属于OS代码范围，AP顺利进入OS阶段。

图1所示的虚拟机启动方式，在启动AP的时候，需要由VMM传递AP执行地址给虚拟机，VMM可以通过设置恶意的指令地址到VMSA达到攻击虚拟机的目的，导致虚拟机的安全运行无法得到保障。

发明内容

有鉴于此，本发明实施例提供一种虚拟机及其启动方法，能够解决现有的虚拟机在启动时无法避开VMM所导致的安全性不高的问题。

第一方面，本发明实施例提供一种虚拟机多核启动方法，包括：

虚拟机的启动处理器运行操作系统，将所述虚拟机的应用处理器的操作系统启动执行地址写入预设跳转表中；所述跳转表只能由所述虚拟机读写；