虚拟机和嵌套虚拟机管理器的验证发起的制作方法

虚拟机和嵌套虚拟机管理器的验证发起的制作方法
【专利摘要】本发明的实施例提供VM和嵌套VMM的验证发起。实施例可使用对VM和嵌套VMM调用VMM保护的发起控制机制的接口而这样做。接口在架构上可以是通用的。本文描述其他实施例。
【专利说明】虚拟机和嵌套虚拟机管理器的验证发起
【背景技术】
[0001]“发起控制(launch control)”或发起控制策略(LCP)是广泛的端点保护技术方案的部分。传统的反病毒扫描采用“黑名单”技术，其旨在识别已知的“恶意”软件。攻击签名在扫描引擎搜索平台资源时引导它。受损的资源标记以供修复。“白名单”牵涉创建已知的“善意”软件列表，其供应给标记不在修复列表上的资源的扫描引擎。黑和白名单可以一起工作来考虑系统上的全部资源。发起控制将白名单扫描引擎集成到系统发起规程内来防止恶意软件获得在系统上执行的机会。例如，白名单可包含用于启动或发起执行环境(例如，动态发起的环境)的代码和数据(例如，哈希)的参考测量。从而，发起控制可以用于确保出现“可信启动”。
[0002]可信启动使用可影响启动流程的每一个阶段并且可基于可信硬件，也称为“可信根”。可信执行技术(TXT)是可以用于实现用于虚拟环境的可信启动使用的发起控制和可信根技术的示例。硬件可信根帮助可信启动使用消除或减少恶意软件对上面的层装作合法硬件的可能性。TXT实现动态可信根测量(RTM)，其采用发起控制策略来确定仅发起可信环境。换句话说，TXT可以是对平台中的不同执行环境进行的完整性检查序列中的起始点。从而，TXT可提供微代码中的安全起始点。例如，各种发起控制(例如TXT发起控制)确保虚拟机管理器(VMM)发起器是值得信赖的。
[0003]VMM可包括主机程序，其允许计算机支持多个执行环境。例如，VMM可通过仿真提供划分单个物理机(例如，服务器)的部件，从而允许多个操作系统在相同CPU上安全运行并且提高CPU利用。VMM可以管理VM。VM可包括执行指令的机器(即，计算机)(像物理机)的软件实现。
[0004]再次关于TXT发起控制，这样的发起控制未确保随后发起的VMM基础设施(例如，虚拟机(VM)、嵌套VMM、嵌套VM和操作系统(OS)环境)也是值得信赖的。从而，发起控制确实可以用于发起单个VMM。然而，一旦VMM正运行，TXT模型特定寄存器(MSR)被设置使得在使用VMX根的VMM活动时不调用TXT。因此，在发起嵌套VMM时，TXT可以是不可用(例如，GETSEC (SENTER)命令失效)并且嵌套VMM可能未被安全发起。然后在不应用发起控制策略的情况下加载VM和嵌套VMM，由此创建安全漏洞的潜在机会。
【专利附图】

【附图说明】
[0005]本发明的实施例的特征和优势将从附上的权利要求、一个或多个示例实施例的下列详细描述和对应的图变得明显，其中:
图1包括对于本发明的实施例的示意流程图。
[0006]图2包括指示本发明的实施例的各种方面的组织的框图。
[0007]图3包括用于与本发明的实施例一起使用的系统。
【具体实施方式】
[0008]在下列描述中，阐述许多特定细节但本发明的实施例可在没有这些特定细节的情况下实践。未详细示出众所周知的电路、结构和技术来避免混淆该描述的理解。“实施例”、“各种实施例”及类似物指示这样描述的实施例可包括特定特征、结构或特性，但不是每一个实施例都必定包括该特定特征、结构或特性。一些实施例可具有对其它实施例描述的特征中的一些、全部或没有这样的特征。“第一”、“第二”、“第三”及类似物描述公共对象并且指示所提及的类似对象的不同实例。这样的形容词未暗指这样描述的对象必须在时间上、空间上采用排序或采用任何其它方式处于给定的序列中。“连接”可指示元件彼此直接物理或电接触并且“耦合”可指示元件彼此共同操作或相互作用，但它们可或可不直接物理或电接触。而且，尽管相似或相同的数字可用于指明不同图中的相同或相似部件，这样做不意指包括相似或相同数字的所有的图构成单个或相同实施例。
[0009]本发明的实施例提供VM和/或嵌套VMM的验证发起。实施例可使用对VM和嵌套VMM调用VMM保护的发起控制机制的接口而这样做。该接口在架构上可以是通用的。一些实施例可使用扩展成涵盖VM和VMM的TXT发起控制策略。
[0010]图1包括对于本发明的实施例的示意流程图。图2包括指示本发明的实施例的各种方面的组织的框图。图1和2在下文结合彼此来论述，然而，每个图中的实施例不一定局限于与彼此一起工作。
[0011]图2包括组织表示200，其简要并且如将在下文更充分解释的那样包括图像201的集合、发起控制策略211 (其中它们的代表白名单对应于图像201)和证实代码模块(例如，发起控制模块(LCPM)) 221，其包括用于针对白名单211中的测量来验证候选代码图像201的代码。在实施例中，LCPM是动态模块化代码对象，其用根VMM特权来执行。平台配置寄存器(PCR) 231存储图像测量。
[0012]初始启动根VMM (VMM0)155。该启动可以是经由许多安全启动机制而实现的安全启动。一个这样的机制(如上文解决的)包括TXT发起控制。关于TXT发起控制的信息至少在 http://software-1ntel-com/enus/articles/intel-trusted-execution-technology-a-primer/、http://download-1ntel-com/technology/security/downloads/315168-pdf以及其他公共可用的位点是可获得的。
[0013]安全发起根VMM (VMMO)可包括几个动作。TXT 226可作为发起控制策略而操作来确保某些图像(例如SINIT ACM 206)是可靠的。SINIT ACM关系到在安全启动过程中使用的验证代码模块。SINIT ACM 206的测量存储在PCR 17中(236)。PCR是可信的平台模块(TPM)寄存器，其包含安全相关信息的加密哈希(由例如VMM等可信执行环境执行的代码和用于发起它的加载器代码的哈希)。
[0014]在VMMO的安全发起期间，可在框225使用SINIT ACM将LCPO 215与根VMMO 205图像相比较。而且，LCPO 215和SINIT ACM 225可用于验证LCPMl、LCPM2、LCPM3 205图像，其中的一些可在下文论述的稍后的阶段(例如，嵌套VMM启动)中使用。这些测量存储在对于 VMMO 的 PCR 18 以及分别对于 LCPMl、LCPM2、LCPM3 的 PCR 19,20,21 中。
[0015]作为简短的旁白，用于存储的确切PCR是能配置的并且在其他实施例中可改变。例如，PCR分配指导可在规范中概述。这样的规范包括可信计算组(TCG) PC客户端规范和TPM规范，其保留PCR 17、18、19、20和21以供动态可信根(例如，TXT)使用。PCR 17可由SENTER使用来测量ACM。ACM可使用PCR 18来测量VMM发起器。VMM发起器可使用PCR 18以及可选地PCR 19来测量VMM。VMM可使TPM虚拟化并且因此可使用其他PCR用于测量VM(和LCPM，就这一点来说)。PCR 20和21还可用于供VMM使用。再进一步地，多个LCPM测量可包括到相同PCR内。从而，PCR的使用是能配置的并且可随着变化的实施例而改变。
[0016]回到图1，引导加载器(例如VMO 105)经由框110而虚拟启动。框115开始启动实体(例如虚拟机VMl 104 (存在于图2的元件204中))的过程。(“实体”还可以是嵌套VMM但VMl在该示例中将用于解释目的。)当发起VMl 104时，引导加载器VMO 105调用指令，例如VMFUNC接口指令，其规定促使LCPMl 124 (图2中的224)发起VMl 104的叶(leaf)。VMFUNC接口可防止中断或设置VM控制位，因此LCPMl 224将被许可执行而没有测量过程的任何中断。该接口还可使系统上的其他处理器静默使得测量可以在没有来自其他处理器的干扰的情况下出现。此外，VMFUNC基于例如TXT的使用来确认微代码可已经视为进行完整性检查和完整性检查控制的安全地点。在下文进一步论述VMFUNC。
[0017]因此，经由框130，执行控制传递到LCPMl 124(图2中的元件224)。在实施例中，LCPMl作为在VMl上运行的VM而操作。LCPMl 124定位存储器中的VMl 104并且基于计划用于LCPMl的LCPl 114 (图2中元件214)执行完整性测量并且证实计算的测量被LCPl中的策略中的一个所接受。LCP可包括白名单，其描述可能从可信服务器方面受保护的预期软件图像。具体地，在实施例中，LCPMl将LCPl读到存储器内，例如定位在扩展页表(EPT)中的受保护存储器。在下文关于VMFUNC接口更详细地论述EPT。
[0018]在框140中，VMl的测量扩展到PCR (例如，PCR 8) 234内，PCR (例如，PCR 8) 234被包括在TPM 145或其他这样的硬件认证模块中。TPM是安全协同处理器，其实施与安全存储和安全报告有关的多种安全能力。关于加密处理器(像TPM)的细节可至少在以下找到:Sundeep Bajikar 的“Trusted Platform Module (TPM) based Security on Notebook PCs-White Paper”，
http://www-1ntel-com/design/mobiIe/platform/downloads/Trusted_Platform_Module_White_Paper-pdf。在框160中，更新PCR日志。实施例不限于利用VMFUNC、TPM及类似物的操作但这样的元件仅用于说明目的。然后，调度VMl以供根VMM 155 (包括在图2的元件205中)执行。在框165中，执行VMFUNC (退出)。
[0019]上文(关于图1和2)描述的过程实施例也能适用于嵌套VMM而不是用于解释目的的VM1。沿着这些线，VM (例如，VMl)和嵌套VMM两者都包括在图2的框204中。也就是说，虽然图1描述VMl的安全启动，相同的过程可以用于安全启动嵌套VMM。
[0020]如在图2中指示的，额外层的虚拟化可以是安全的。例如，经由LCPM2 223，可测量嵌套VM 203并且将其与包括在LCP2 213中的测量比较。测量可经由PCR 233存储。此夕卜，经由LCPM3 221，可测量驱动器、库和可执行代码202并且将其与包括在LCP3 212中的测量比较。测量可经由PCR 232而存储。
[0021]作为关于嵌套VM的更特定示例，引导加载器VMO 105经由框110而被虚拟地启动。框115开始启动嵌套VM2 203的过程。当发起VM2 203时，引导加载器VMO 105调用指令，例如VMFUNC接口指令，其规定导致LCPM2 223发起VM2 203的叶。经由框130，执行控制传递到LCPM2 223，其定位存储器中的VM2 203并且基于计划用于LCPM2的LCP2 213执行完整性测量并且证实计算的测量被LCP2中的策略中的一个所接受。在框140中，VM2的测量扩展到PCR 233内，PCR 233包括在TPM中。在框160中，更新PCR日志。然后，在框155中，调度VM2以供根VMM 155执行。在框165中，执行VMFUNC (退出)。[0022]紧挨上面(关于图1和2)描述的过程实施例也能适用于嵌套VMM，其进一步嵌套在另一个实体内。
[0023]从而，框110导致根VMM (105)发起LCPM (225)。LCPM用于利用将装载到受保护存储器内的VM的图像来评估LCP。相似地，还可加载对于嵌套VMM的LCPM (即使这未在图1中专门示出)。根VMM LCP用于证实LCPM的完整性。此外，VM或嵌套VMM比在VM或VMM从根VMM (甚至是安全启动的根VMM)发起时要更安全地发起。相反，并不直接依靠根VMM(即，它被绕过)而相反依靠基于TXT硬件的序列(或其他基于硬件认证模块的方法)来启动VM或嵌套VMM。在一个实施例中，发起控制机制、工具和基础设施(典型地局限于仅与根VMM一起工作)扩展到与VM和VMM —起工作。例如，发起控制现在扩展到超出TXT和相似的安全技术。实施例使由例如TXT发起控制和/或BIOS可信启动机制所切断的白名单检查过程继续到嵌套VMM和VM环境。基于可信系统启动、可信根VMM启动和可信嵌套VMM和/或VM启动，环境可提供具有回到可信根的连续信任链的信任代理服务。该信任链可基于例如PCR日志的内容而建立。
[0024]关于VMFUNC指令，典型地在不应用发起控制策略的情况下加载VM和嵌套VMM。此外，VMM供应商不依靠用于发起控制的公共架构接口。然而，利用本发明的各种实施例，根VMM可以使用VMFUNC调用(或它的功能等同)来调用发起控制策略模块，如上文描述的。LCPM理解如何解析和证实包括在LCP策略中的白名单。LCP策略可以是加载的图像类型(例如，VM或嵌套VMM)所特有的。LCPM在适当保护根VMM的情况下执行。VMFUNC调用确保VM和嵌套VMM根据一致的供应商无关方式来被调用使得LCP创始人能够构造跨越VMM和VM的不同供应商实现或跨VMM和VM的不同供应商实现而一致工作的LCP。从而，VMM供应商不必对起到根或嵌套VMM作用的VMM维持明显不同的产品/安装库存单元(SKU)。
[0025]此外关于VMFUNC，VMFUNC是使用EPT存储器保护的架构接口。EPT是用于存储器管理单元(MMU)的虚拟化技术。当该特征活动时，普通的IA-32页表(由控制寄存器CR3引用)从线性地址转化成客户物理地址。独立页表(即，EPT表)集从客户物理地址转化成主机物理地址，其用于访问存储器。因此，可以允许客户软件修改它自己的IA-32页表并且直接处理页错误。这允许VMM避免与页表虚拟化关联的VM退出，其是在没有EPT情况下虚拟化开销的主要来源。VMFUNC通过使用EPT使例如LCPl (114)与LCPMl (124)隔离而利用EPT0在这样做时，LCPMl免受源于VMFUNC进入点外部的写操作的影响。测量然后可以存储在包括在TPM内的寄存器中。此外，EPT可仅在特定硬件线程上是活动的，从而不允许可在其他硬件线程上执行的其他软件篡改或干预LCPl的测量。
[0026]在实施例中，EPT可用于对LCPM规定存储器中的边界。这对于在加载VM时重新检查LCPM代码(而不检查所有VMM代码)可以是有益的，因为例如LCPM代码特别地实现策略实施规则。该检查未重新加载VMM代码。相反，检查是存储器内检查(例如，EPT中的存储器页被重散列并且与对应于存储器内图像的白名单比较)。因为PCR 19、20、21不包含VMM(其可包括在PCR 18中)的完整测量，那些PCR可以用于这些重新测量。
[0027]更具体地，在实施例中，EPT用于限定具有特殊特性和/或使用的存储器页的组。实施例使用EPT来构造实现LCPM (例如，代码)和LCP (例如，数据)功能性的VMM代码和数据页的子集。当VMFUNC供应商对VMM控制时，VMFUNC中的新的叶可以用于证实EPT，其包含LCPM，并且LCP页不必因为首先被发起而改变。实施例可采用与地址范围类似的方式来实现此。可检查/证实LCPM页来确保它们还未被移动、延长和/或缩短。如果VMFUNC用于实施完整性策略，预期的LCPM和LCP测量可以传递给VMFUNC作为对新叶的参数。VMFUNC可以在将执行传递到LCPM代码之前比较EPT测量。如果比较不产生匹配，VMFUNC可指示错误。
[0028]在实施例中，根VMM功能性可根据CPU环结构而分区使得在环O处执行VMFUNC的调用并且在环I处进行LCPM的执行。VMM功能性的剩余部分可以在环2和环3处实现。该实现允许硬件机构保护/加强LCPM和VMFUNC调用。用于支持LCPM的VMFUNC叶可迫使该特定叶可以仅被客户VMM在环O处调用。在实施例中，根VMM将使用TXT。例如，TXT将用于发起VMM/VMM发起器。一旦被发起，VMM中的LCPM将用于发起客户。从而，环可以用于进一步使发起功能性与VMM和VMM基础设施内的其他非安全相关功能性隔离和分离。
[0029]实施例适合于几个环境，其包括经证实的启动环境和测量的启动环境。
[0030]经证实的启动接受来自可信服务器的白名单，其描述预期的软件图像。客户端平台的可信部件检查软件图像(在它执行并且将它与白名单比较之前)。如果存在匹配，则部件被许可执行。如果否的话，执行修复动作。执行该操作的部件有时称为用于证实的可信根。这可不需要硬件认证模块(例如，TPM)。
[0031]然而，测量的启动检查软件图像(在它执行并且将它保存在安全存储位点之前)。它可不具有约束或更改启动的白名单。相反，白名单被维持在客户端希望访问的服务器托管资源处。软件的完整性报告交付给服务器作为服务器准许访问的前提。报告对服务器的呈现有时叫作认证。服务器将认证报告与白名单比较来确定客户端是否拥有明显的风险。如果确实有的话，关闭网络连接。这可利用硬件认证模块(例如，TPM)0
[0032]进一步详细地，在各种实施例中，经证实的启动直接实施完整性策略(B卩，它可防止执行不满足完整性策略的代码)。然而，因为例如完整性策略可实际上位于远程服务器上并且可不被客户端所知，测量的启动可允许执行不满足完整性策略的代码。因此，客户端可安全地存储测量(例如，在TPM PCR中)，在这里它将稍后被“援引”并且交付给服务器作为“认证”的部分。服务器可以将在认证中找到的实际测量与它的白名单本地副本上的测量比较。实施可以由服务器通过放弃网络连接性或通过使客户端处于修复网络(其中更新服务可试图重新配置客户端(例如，PO)中而被施加。
[0033]从而，实施例发起第一 VMM ;验证第二 VMM的发起；并且使该第二 VMM嵌套在第一VMM内。相反或除嵌套VMM的验证启动外，实施例可验证第一 VM的发起；并且管理具有第一VMM (例如，根VMM)或嵌套VMM的第一 VM。在紧挨前面场景中的任一个(根VMM或托管另一个VMM或VM的VMM)中，该根或托管VMM可经由不可重入的安全启动(例如，经由TXT发起)而被启动。
[0034]实施例可在既(a)调用第二 LCPM又(b)使用硬件安全认证模块(例如但不限于，TPM)时通过绕过根VMM而验证第二 VMM的发起。
[0035]关于对于“绕过”根VMM的示例，根VMM可将嵌套VMM视为好像它们是VM —样。从而，发起控制VM和VMM两者从根VMM的角度来看将是相似的。聚焦在嵌套VMM上，当嵌套VMM执行时，它将识别它将加载的VM。用于测量嵌套VMM的LCPM代码包含在嵌套VMM页范围中。因此VMFUNC可确保描述嵌套VMM的EPT与描述根VMM的EPT不同。从而，如果根VMM决定参加，根VMM某种程度上对于该操作可被绕过。这可基于例如EPT使用以及VMFUNC和引导VMO (参见图1)的使用以用于启动嵌套VMM。
[0036]实施例可经由第二 LCPM评估与嵌套的第二 VMM关联的第二 LCP。实施例可经由第
二LCPM来执行第二 VMM的完整性测量并且经由第二 LCP验证测量。实施例可使测量扩展到包括在TPM或其他硬件认证模块中的PCR内；并且基于将测量扩展到PCR而更新日志。
[0037]实施例可将第二 LCPM加载到受保护的存储器(例如，EPT)内并且执行第二 LCPM，其中第二 LCPM具有根VMM特权。实施例可使系统能够经由第二 LCPM验证包括在第二 LCP中的白名单，其中第二 LCP是VMM而不是VM所特有的。而且，基于与第一 VMM关联的第一LCP,实施例可验证第二 LCP，同时启动第一 VMM。此外，实施例可经由未专门为第二 VMM所配置(例如，架构上中立或供应商中立)并且配置成将VMM和嵌套VMM接口的安全接口来验证第二 VMM的发起。[0038]实施例可采用许多不同的系统类型来实现。现在参考图3，示出根据本发明的实施例的系统的框图。多处理器系统500是点到点互连系统，并且包括经由点到点互连550而耦合的第一处理器570和第二处理器580。处理器570和580中的每个可以是多核处理器。术语“处理器”可指处理来自寄存器和/或存储器的电子数据来将该电子数据变换成可存储在寄存器和/或存储器中的其他电子数据的任何装置或装置的任何部分。第一处理器570可包括存储器控制器中枢(MCH)和点到点(P-P)接口。相似地，第二处理器580可包括MCH和P-P接口。MCH可使处理器耦合于相应的存储器，即存储器532和存储器534，其可以是本地附连到相应处理器的主存储器(例如，动态随机存取存储器(DRAM))的部分。第一处理器570和第二处理器580可经由P-P互连而分别耦合于芯片集590。芯片集590可包括TPM或加密处理器，其包括例如RSA加速计、随机数发生器、密钥、证书、PCR、静态RAM、闪速存储器、单调计数器、数字签名算法及类似物。关于这样的芯片集的一个示例的细节至少在以下可获得:http: //www-1ntel-com/ design/mobi I e/platform/ downloads/Trusted_Pl-atform_Module_ffhite_Paper-pdf o实施例不限于与任一个类型的安全引擎或加密处理器一起工作并且可相反与具有来自各种供应商的具有各种架构的各种分立和/或集成安全引擎一起工作。芯片集590可包括P-P互连。此外，芯片集590可经由接口耦合于第一总线516。各种输入/输出(I/O)装置514可I禹合于第一总线516,连同总线桥518,其使第一总线516耦合于第二总线520。各种装置可耦合于第二总线520，其包括例如键盘/鼠标522、通信装置526和数据存储单元528，例如盘驱动器或其他大容量存储，其在一个实施例中可包括代码530。此外，音频I/O 524可耦合于第二总线520。
[0039]实施例可在代码中实现并且可存储在非暂时性存储介质上，该非暂时性存储介质具有存储在其上的指令，其可以用于对系统编程来执行指令。存储介质可包括但不限于任何类型的盘，这些盘包括软盘、光盘、光盘、固态驱动器(SSD)、压缩盘只读存储器(⑶-ROM)、压缩盘可重写(⑶-RW)和磁光盘；半导体器件，例如只读存储器(ROM)、例如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)等随机存取存储器(RAM)、可擦除可编程只读存储器(EPR0M)、闪速存储器、电可擦除可编程只读存储器(EEPR0M)、磁或光卡或适合于存储电子指令的任何其他类型的介质。本发明的实施例可在本文关于例如指令、函数、规程、数据结构、应用程序、配置设置、代码及类似物等数据来描述。当数据被机器访问时，该机器可通过执行任务、限定抽象数据类型、建立低级硬件上下文和/或执行其他操作而作出响应，如在本文更详细描述的。数据可存储在易失性和/或非易失性数据存储中。术语“代码”或“程序”涵盖广泛的部件和构造，其包括应用、驱动器、进程、例程、方法、模块和子程序并且可指指令的任何集合，这些指令在被处理系统执行时执行期望的操作或若干操作。另外，备选实施例可包括使用比公开操作中的全部更少的进程、使用额外操作的进程、使用处于不同序列的相同操作的进程以及其中本文公开的个体操作组合、细分或用别的方式更改的进程。部件或模块可根据期望组合或分离，并且可定位在装置的一个或多个部分中。
[0040]尽管已经关于有限数量的实施例描述本发明，本领域内技术人员将意识到从其中的许多修改和改动。规定附上的权利要求涵盖所有这样的修改和改动，它们落入本发明的真正精神和范围内。
【权利要求】
1.一种物品，其包括非暂时机器可访问存储介质，其包括指令，所述指令在被执行时使系统能够: 发起第一虚拟机管理器(VMM); 验证第二 VMM的发起；以及 使所述第二 VMM嵌套在所述第一 VMM内。
2.如权利要求1所述的物品，其包括指令，该指令使所述系统能够: 验证第一虚拟机(VM)的发起；以及 管理具有所述第一 VMM和所述第二 VMM中的一个的第一 VM。
3.如权利要求1所述的物品，其中所述第一VMM是经由不可重入的安全启动而发起的根丽。
4.如权利要求1所述的物品，其中验证所述第二VMM的发起包括在既(a)调用第二发起控制策略模块(LCPM)又(b)使用硬件安全认证模块时绕过所述第一 VMM。
5.如权利要求4所述的物品，其中所述硬件安全认证模块包括可信平台模块(TPM)。
6.如权利要求1所述的物品，其包括指令，该指令使所述系统能够经由第二发起控制策略模块(LCPM)评估与所述第二 VMM关联的第二发起控制策略(LCP)。
7.如权利要求6所述的物品，其包括指令，该指令使所述系统能够经由所述第二LCPM来执行所述第二 VMM的·完整性测量并且经由所述第二 LCP验证所述测量。
8.如权利要求7所述的物品，其包括指令，该指令使所述系统能够: 使所述测量扩展到包括在可信平台模块(TPM)中的平台配置寄存器(PCR)内；以及 基于使所述测量扩展到所述PCR来更新日志。
9.如权利要求6所述的物品，其包括指令，该指令使所述系统能够将所述第二LCPM加载到受保护存储器内并且执行所述第二 LCPM，其中所述第二 LCPM具有根VMM特权。
10.如权利要求6所述的物品，其包括指令，该指令使所述系统能够经由所述第二LCPM而验证包括在所述第二 LCP中的白名单，其中所述第二 LCP是VMM所特有的而不是VM所特有的。
11.如权利要求6所述的物品，其包括指令，该指令使所述系统能够基于与所述第一VMM关联的第一 LCP在启动所述第一 VMM时验证所述第二 LCP。
12.如权利要求1所述的物品，其包括指令，该指令使所述系统能够经由未专门为所述第二 VMM所配置并且配置成将VMM和嵌套VMM接口的安全接口来验证所述第二 VMM的发起。
13.—种方法,包括: 发起第一虚拟机管理器(VMM); 验证第二 VMM的发起；以及 使所述第二 VMM嵌套在所述第一 VMM内。
14.如权利要求13所述的方法，其包括: 验证第一虚拟机(VM)的发起；以及 管理具有所述第一 VMM和所述第二 VMM中的一个的第一 VM。
15.如权利要求13所述的方法，其中验证所述第二VMM的发起包括在既(a)调用第二发起控制策略模块(LCPM)又(b)使用硬件安全认证模块时绕过所述第一 VMM。
16.如权利要求13所述的方法，其包括经由第二发起控制策略模块(LCPM)评估与所述第二 VMM关联的第二发起控制策略(LCP)。
17.如权利要求16所述的方法，其包括经由所述第二LCPM来执行所述第二 VMM的完整性测量并且经由所述第二 LCP验证所述测量。
18.—种系统,包括: 存储器； 处理器，其耦合于所述存储器以便(a)发起第一虚拟机管理器(VMM); (b)验证第二 VMM的发起；以及(c)使所述第二 VMM嵌套在所述第一 VMM内。
19.如权利要求18所述的系统，其中所述处理器用于:验证第一虚拟机(VM)的发起；以及 管理具有所述第一 VMM和所述第二 VMM中的一个的第一 VM。
20.如权利要求18所述的系统，其中所述处理器经由第二发起控制策略模块(LCPM)评估与所述第二 VMM关联的第二发起控制策略(LCP)。
21.如权利要求20所述的系统，其中所述处理器经由所述第二LCPM来执行所述第二VMM的完整性测量并且经由所述第二 `LCP验证所述测量。
【文档编号】G06F9/455GK103827824SQ201180073818
【公开日】2014年5月28日 申请日期:2011年9月30日 优先权日:2011年9月30日
【发明者】N.M.史密斯, R.L.萨希塔 申请人:英特尔公司