特許7388804 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

青山学院大学 (神奈川県相模原市中央区淵野辺)

▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧

特許7388804セキュア仮想マシンのディスパッチ

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-11-20

(45)【発行日】2023-11-29

(54)【発明の名称】セキュア仮想マシンのディスパッチ

(51)【国際特許分類】

G06F 21/62 20130101AFI20231121BHJP

G06F 9/455 20180101ALI20231121BHJP

【ＦＩ】

G06F21/62 318

G06F9/455 150

【請求項の数】 22

(21)【出願番号】P 2021552188

(86)(22)【出願日】2020-02-28

(65)【公表番号】

(43)【公表日】2022-04-20

(86)【国際出願番号】 EP2020055311

(87)【国際公開番号】W WO2020182496

(87)【国際公開日】2020-09-17

【審査請求日】2022-07-25

(31)【優先権主張番号】16/296,336

(32)【優先日】2019-03-08

(33)【優先権主張国・地域又は機関】US

(73)【特許権者】

【識別番号】390009531

【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション

【氏名又は名称原語表記】ＩＮＴＥＲＮＡＴＩＯＮＡＬＢＵＳＩＮＥＳＳＭＡＣＨＩＮＥＳＣＯＲＰＯＲＡＴＩＯＮ

【住所又は居所原語表記】ＮｅｗＯｒｃｈａｒｄＲｏａｄ，Ａｒｍｏｎｋ，ＮｅｗＹｏｒｋ１０５０４，ＵｎｉｔｅｄＳｔａｔｅｓｏｆＡｍｅｒｉｃａ

(74)【代理人】

【識別番号】100112690

【弁理士】

【氏名又は名称】太佐種一

(72)【発明者】

【氏名】ブサバ、ファディ

(72)【発明者】

【氏名】ヘラー、リサ

【審査官】吉田歩

(56)【参考文献】

【文献】米国特許出願公開第２０１９／００４２２９６（ＵＳ，Ａ１）

【文献】米国特許出願公開第２００９／０２１６９９２（ＵＳ，Ａ１）

【文献】特表２０１８－５０２３７１（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ２１／６２

Ｇ０６Ｆ９／４５５

(57)【特許請求の範囲】

【請求項1】

【請求項2】

【請求項3】

前記第２の状態記述子が、前記セキュア・インターフェース・コントロールによってのみアクセス可能であり、前記ハイパーバイザはアクセス不可能である、請求項１または２に記載のコンピュータ実装方法。

【請求項4】

前記セキュア・インターフェース・コントロールが、前記第２の状態記述子に保存されたマスクで条件付きの１つまたは複数のセキュア・インターフェース・コントロール制御に基づいて、前記仮想マシンの前記セキュリティ・モードを決定する、請求項１ないし３のいずれか一項に記載のコンピュータ実装方法。

【請求項5】

前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
をさらに含む、請求項１ないし４のいずれか一項に記載のコンピュータ実装方法。

【請求項6】

コンピュータ実装方法であって、
ホスト・サーバ上で実行されているハイパーバイザによって、仮想マシンのディスパッチのリクエストを受信することと、
前記仮想マシンがセキュア仮想マシンであるとの判定に基づいて、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできないようにすることと、
前記ホスト・サーバのセキュア・インターフェース・コントロールによって、
前記仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された前記仮想マシンの第１の状態記述子から、仮想マシン状態をロードすること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記メモリのセキュア部分に格納された前記仮想マシンの第２の状態記述子から、前記仮想マシン状態をロードすること、
を実行することと、
前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を含み、前記セキュリティ・モードが第３のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納するとともに、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに含む、コンピュータ実装方法。

【請求項7】

前記セキュア・インターフェース・コントロールが、ミリコードを含む、請求項１ないし６のいずれか一項に記載のコンピュータ実装方法。

【請求項8】

【請求項9】

【請求項10】

前記第２の状態記述子が、前記セキュア・インターフェース・コントロールによってのみアクセス可能であり、前記ハイパーバイザはアクセス不可能である、請求項８または９に記載のシステム。

【請求項11】

前記セキュア・インターフェース・コントロールが、前記第２の状態記述子に保存されたマスクで条件付きの１つまたは複数のセキュア・インターフェース・コントロール制御に基づいて、前記仮想マシンの前記セキュリティ・モードを決定する、請求項８ないし１０のいずれか一項に記載のシステム。

【請求項12】

前記方法が、
前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
をさらに含む、請求項８ないし１１のいずれか一項に記載のシステム。

【請求項13】

システムであって、
メモリと、
セキュア・インターフェース・コントロールと、
前記メモリおよび前記セキュア・インターフェース・コントロールと結合され、複数の仮想マシンをホスティングするハイパーバイザを実行するように構成された処理ユニットであって、前記ハイパーバイザが、セキュア仮想マシンの任意のデータへの直接アクセスを禁止され、前記仮想マシンの開始および終了を管理する方法を実行するように構成された、前記処理ユニットとを備え、前記方法が、
前記ハイパーバイザによって、仮想マシンのディスパッチのリクエストを受信することと、
前記仮想マシンがセキュア仮想マシンであるとの判定に基づいて、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできないようにすることと、
前記セキュア・インターフェース・コントロールによって、
前記仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された前記仮想マシンの第１の状態記述子から、仮想マシン状態をロードすること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記メモリのセキュア部分に格納された前記仮想マシンの第２の状態記述子から、前記仮想マシン状態をロードすること、
を実行することと、
前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を含み、
前記方法が、前記セキュリティ・モードが第３のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納するとともに、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに含む、システム。

【請求項14】

【請求項15】

前記第２の状態記述子が、前記セキュア・インターフェース・コントロールによってのみアクセス可能であり、前記ハイパーバイザはアクセス不可能である、請求項１４に記載のコンピュータ・プログラム。

【請求項16】

前記コンピュータ・プログラムが、前記コンピュータに、
前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
をさらに実行させる、請求項１４または１５に記載のコンピュータ・プログラム。

【請求項17】

コンピュータ・プログラムであって、コンピュータに、
ホスト・サーバ上で実行されているハイパーバイザによって、仮想マシンのディスパッチのリクエストを受信することと、
前記仮想マシンがセキュア仮想マシンであるとの判定に基づいて、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできないようにすることと、
前記ホスト・サーバのセキュア・インターフェース・コントロールによって、
前記仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された前記仮想マシンの第１の状態記述子から、仮想マシン状態をロードすること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記メモリのセキュア部分に格納された前記仮想マシンの第２の状態記述子から、前記仮想マシン状態をロードすること、
を実行することと、
前記仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュリティ・モードが前記第１のモードであることに基づいて、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態を格納すること、および
前記セキュリティ・モードが前記第２のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を実行させるためのコンピュータ・プログラムであり、前記コンピュータ・プログラムが、前記コンピュータに、前記セキュリティ・モードが第３のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納するとともに、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに実行させる、コンピュータ・プログラム。

【請求項18】

コンピュータ実装方法であって、
ホスト・マシン上で実行されているハイパーバイザによって、セキュア仮想マシンをディスパッチすることであって、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできない、前記ディスパッチすることと、
前記セキュア仮想マシンの終了条件の発生に基づいて、前記ホスト・サーバのセキュア・インターフェース・コントロールによって、
前記セキュア仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された第１の状態記述子に前記セキュア仮想マシンの仮想マシン状態を格納すること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記ハイパーバイザがアクセス不可能な前記メモリのセキュア部分に格納された第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を含み、前記第１の状態記述子が、前記第２の状態記述子へのポインタを含む、コンピュータ実装方法。

【請求項19】

コンピュータ実装方法であって、
ホスト・マシン上で実行されているハイパーバイザによって、セキュア仮想マシンをディスパッチすることであって、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできない、前記ディスパッチすることと、
前記セキュア仮想マシンの終了条件の発生に基づいて、前記ホスト・サーバのセキュア・インターフェース・コントロールによって、
前記セキュア仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された第１の状態記述子に前記セキュア仮想マシンの仮想マシン状態を格納すること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記ハイパーバイザがアクセス不可能な前記メモリのセキュア部分に格納された第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を含み、前記セキュリティ・モードが第３のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納するとともに、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに含む、コンピュータ実装方法。

【請求項20】

【請求項21】

システムであって、
メモリと、
セキュア・インターフェース・コントロールと、
前記メモリおよび前記セキュア・インターフェース・コントロールと結合され、複数の仮想マシンをホスティングするハイパーバイザを実行するように構成された処理ユニットであって、前記ハイパーバイザが、セキュア仮想マシンの任意のデータへの直接アクセスを禁止され、前記仮想マシンの開始および終了を管理する方法を実行するように構成された、前記処理ユニットとを備え、前記方法が、
前記ハイパーバイザによって、前記セキュア仮想マシンをディスパッチすることであって、前記ハイパーバイザが前記セキュア仮想マシンの任意のデータに直接アクセスできない、前記ディスパッチすることと、
前記セキュア仮想マシンの終了条件の発生を検出することと、
前記セキュア・インターフェース・コントロールによって、
前記セキュア仮想マシンのセキュリティ・モードを決定すること、
前記セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された第１の状態記述子に前記セキュア仮想マシンの仮想マシン状態を格納すること、および
前記セキュリティ・モードが第２のモードであることに基づいて、前記ハイパーバイザがアクセス不可能な前記メモリのセキュア部分に格納された第２の状態記述子に前記仮想マシン状態を格納すること、
を実行することと、
を含み、前記方法が、前記セキュリティ・モードが第３のモードであることに基づいて、前記メモリの前記セキュア部分に格納された前記第２の状態記述子に前記仮想マシン状態を格納するとともに、前記メモリの前記非セキュア部分に格納された前記第１の状態記述子に前記仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに含む、システム。

【請求項22】

前記セキュア・インターフェース・コントロールが、前記第２の状態記述子に保存されたマスクで条件付きの１つまたは複数のセキュア・インターフェース・コントロール制御に基づいて、前記セキュア仮想マシンの前記セキュリティ・モードを決定する、請求項２０または２１に記載のシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本願は、コンピュータ技術に関し、より詳細には、仮想マシンに関する。

【背景技術】

【0002】

クラウド・コンピューティングは、顧客によるハードウェアの購入も、物理的なサーバの据え付けスペースの提供も必要とすることなく、顧客が仮想マシンを迅速かつ容易に設定できるようにする。顧客は、選好の変化に応じて、仮想マシンを拡大するようにしてもよいし、縮小するようにしてもよい。通常、クラウド・コンピューティングの提供者は、当該提供者のデータセンタに物理的に存在する仮想マシンを設定する。この環境において、顧客の仮想マシンは、ゲストとして動作しており、クラウド提供者は、ホストとして動作するハイパーバイザ・コードを用いて、場合により異なる顧客に属する複数の仮想マシン間でサーバ・リソースを仮想化する。

【0003】

顧客は、仮想マシン中のデータのセキュリティに不安を感じることが多い。クラウド事業者の信頼性が高くない場合もあるため、顧客は、（ハイパーバイザのような）悪質コードもしくは破損コードによる不正アクセスまたは悪意あるシステム管理者によるデータセンタの運用、あるいはその両方のリスクなく、作業を展開したいと考える。顧客は、そのコードおよびデータとクラウド・コンピューティング提供者との間のほか、そのコードおよびデータと提供者の拠点で動作する他のＶＭとの間のセキュリティ、ならびに、提供者の管理者に対するセキュリティのほか、マシン上で動作する他のコードにおける潜在的なセキュリティ侵害に対する保護を望ましいと考える。たとえば、顧客は、米国（Ｕ．Ｓ．）企業等のクラウド・コンピューティング提供者が、場合により召喚状によって、機密文書または私有文書を転用せざるを得なくなる可能性を抑制または回避するために、クラウド提供者がそれぞれのデータにアクセスできないようにすることを求めるかもしれない。

【発明の概要】

【0004】

本発明の１つまたは複数の実施形態によれば、コンピュータ実装方法は、ホスト・サーバ上で実行されているハイパーバイザによって、仮想マシンのディスパッチのリクエストを受信することを含む。この方法は、仮想マシンがセキュア仮想マシンであるとの判定に基づいて、ハイパーバイザがセキュア仮想マシンの任意のデータに直接アクセスできないようにすることをさらに含む。この方法は、ホスト・サーバのセキュア・インターフェース・コントロールによって、仮想マシンのセキュリティ・モードを決定することをさらに含む。さらに、セキュリティ・モードが第１のモードであることに基づいて、セキュア・インターフェース・コントロールは、メモリの非セキュア部分に格納された仮想マシンの第１の状態記述子から、仮想マシン状態をロードする。さらに、セキュリティ・モードが第２のモードであることに基づいて、セキュア・インターフェース・コントロールは、メモリのセキュア部分に格納された仮想マシンの第２の状態記述子から、仮想マシン状態をロードする。

【0005】

１つまたは複数の例において、第２の状態記述子は、セキュア・インターフェース・コントロールによってのみアクセス可能であり、ハイパーバイザはアクセス不可能である。１つまたは複数の例において、第１の状態記述子は、第２の状態記述子へのポインタを含む。１つまたは複数の例において、セキュア・インターフェース・コントロールは、第２の状態記述子に保存されたマスクで条件付きの（qualified with masks）１つまたは複数のセキュア・インターフェース・コントロール制御に基づいて、仮想マシンのセキュリティ・モードを決定する。さらに、１つまたは複数の例において、セキュア・インターフェース・コントロールは、第１の状態記述子および第２の状態記述子中の値の比較によって、仮想マシン状態の正確性を確認する。

【0006】

本発明の１つまたは複数の実施形態によれば、この方法は、仮想マシンの終了条件の発生を検出することと、セキュア・インターフェース・コントロールによって、セキュリティ・モードが第１のモードであることに基づいて、メモリの非セキュア部分に格納された第１の状態記述子に仮想マシン状態を格納することと、をさらに含む。この方法は、セキュリティ・モードが第２のモードであることに基づいて、メモリのセキュア部分に格納された第２の状態記述子に仮想マシン状態を格納することをさらに含む。

【0007】

本発明の１つまたは複数の実施形態によれば、この方法は、セキュリティ・モードが第３のモードであることに基づいて、メモリのセキュア部分に格納された第２の状態記述子に仮想マシン状態を格納するとともに、メモリの非セキュア部分に格納された第１の状態記述子に仮想マシン状態からの１つまたは複数の選択パラメータを格納することをさらに含む。

【0008】

１つまたは複数の例において、セキュア・インターフェース・コントロールは、ミリコードを含む。

【0009】

本発明の１つまたは複数の実施形態によれば、コンピュータ実装方法は、ホスト・マシン上で実行されているハイパーバイザによって、セキュア仮想マシンをディスパッチすることであって、ハイパーバイザがセキュア仮想マシンの任意のデータに直接アクセスできない、ディスパッチすることを含む。この方法は、セキュア仮想マシンの終了条件の発生に基づいて、ホスト・サーバのセキュア・インターフェース・コントロールによって、セキュア仮想マシンのセキュリティ・モードを決定することをさらに含む。さらに、セキュリティ・モードが第１のモードであることに基づいて、セキュア・インターフェース・コントロールは、メモリの非セキュア部分に格納された第１の状態記述子にセキュア仮想マシンの仮想マシン状態を格納する。さらに、セキュリティ・モードが第２のモードであることに基づいて、セキュア・インターフェース・コントロールは、ハイパーバイザがアクセス不可能なメモリのセキュア部分に格納された第２の状態記述子に仮想マシン状態を格納する。

【0010】

１つまたは複数の例において、この方法は、セキュリティ・モードが第３のモードであることに基づいて、メモリのセキュア部分に格納された第２の状態記述子に仮想マシン状態を格納するとともに、メモリの非セキュア部分に格納された第１の状態記述子に仮想マシン状態からの１つまたは複数の選択パラメータを格納することを含む。１つまたは複数の例において、セキュア・インターフェース・コントロールは、第２の状態記述子に保存されたマスクで条件付きの１つまたは複数のセキュア・インターフェース・コントロール制御に基づいて、セキュア仮想マシンのセキュリティ・モードを決定する。

【0011】

上述の特徴は、少なくともシステム、コンピュータ・プログラム製品、およびマシンによっても同様に提供可能である。

【0012】

本明細書に記載の特徴は、コンピュータ技術を改良し、特に、セキュア仮想マシン（ＶＭ）のホスティングの容易化によって、ＶＭをホスティングするコンピュータ・サーバを改良する。ハイパーバイザがもはやＶＭのデータの制御で信頼されないセキュアＶＭの場合でも、動作を継続する既存のハイパーバイザとの互換性のため、既存のコンピュータ・サーバと同じハイパーバイザ・インターフェースを通じてセキュアＶＭをディスパッチすることが依然として好ましい（場合によっては、必要な）オプションである。したがって、本発明の１つまたは複数の実施形態は、ハイパーバイザ・コードが変更を不要とするように容易化し、通常の非セキュアＶＭのほか、ホスト・コンピュータ・サーバにおいてハイパーバイザのデータ・アクセスを禁止するセキュアＶＭのディスパッチに（既存のハイパーバイザの）同じコードを使用可能とする。

【0013】

その他の技術的特徴および利益については、本発明の技術によって実現される。本発明の実施形態および態様を本明細書において詳しく説明するが、これらは、特許請求の範囲に係る主題の一部と考えられる。より深い理解のため、詳細な説明および図面を参照する。

【0014】

本明細書に記載の独占権の明細は、本明細書の最後の特許請求の範囲において詳細に示すとともに明確に請求する。本発明の実施形態の上記および他の特徴および利点については、添付の図面と併用する以下の詳細な説明から明らかである。

【図面の簡単な説明】

【0015】

【図1】本発明の１つまたは複数の実施形態に係る、クラウド・コンピューティング環境を示した図である。

【図2】本発明の１つまたは複数の実施形態に係る、抽象モデル・レイヤを示した図である。

【図3】本発明の１つまたは複数の実施形態に係る、システムのブロック図である。

【図4】本発明の１つまたは複数の実施形態に係る、ホスト・システムのブロック図である。

【図5】本発明の１つまたは複数の実施形態に係る、ハイパーバイザがセキュア仮想マシンを開始する例示的な方法のフローチャートである。

【図6】本発明の１つまたは複数の実施形態に係る、状態記述子の例示的な構造を示した図である。

【図7】本発明の１つまたは複数の実施形態に係る、状態記述子フィールドの例示的な構造を示した図である。

【図8】本発明の１つまたは複数の実施形態に係る、選択セキュリティ・モードに応じてセキュア仮想マシンの終了を容易化する方法のフローチャートである。

【発明を実施するための形態】

【0016】

本明細書においては、関連する図面を参照して、本発明の種々実施形態を説明する。本発明の範囲から逸脱することなく、本発明の代替実施形態を考案可能である。以下の説明および図面においては、さまざまな接続および位置関係（たとえば、上方（over）、下方（below）、隣接（adjacent）等）が要素間に規定される。これらの接続または位置関係あるいはその両方は、別段の指定のない限り、直接的でも間接的でも可能であり、この点に関して、本発明は何らの制限も意図していない。したがって、エンティティの結合は、直接的または間接的な結合を表すことができ、エンティティ間の位置関係としては、直接的または間接的な位置関係が可能である。さらに、本明細書に記載のさまざまなタスクおよびプロセス・ステップは、本明細書に詳しく記載していない付加的なステップまたは機能を有するより包括的な手順またはプロセスに組み込み可能である。

【0017】

以下の定義および略語は、特許請求の範囲および本明細書の解釈のために使用するものとする。本明細書において、用語「備える（comprise、comprising）」、「具備する（include、including）」、「有する（have、having）」、「含む（contain、containing）」、またはこれらのその他任意の変形は、非排他的な包含を網羅することが意図される。たとえば、要素の一覧を含む組成物、混合物、プロセス、方法、品目、または装置は、必ずしもこれらの要素だけに限定されず、このような組成物、混合物、プロセス、方法、品目、または装置に対して明示的に一覧化もされていなければ固有でもない他の要素を含み得る。

【0018】

また、本明細書において、用語「例示的な（exemplary）」は、「一例、事例、または実例として機能する」を意味するものとして使用している。本明細書で「例示的（exemplary）」として記載する如何なる実施形態も設計も、他の実施形態または設計より好ましいものまたは有利なものとしては必ずしも解釈されないものとする。用語「少なくとも１つ（at least one）」および「１つまたは複数（one or more）」は、１以上の任意の整数すなわち１、２、３、４等を含むものと理解可能である。用語「複数（a plurality）」は、２以上の任意の整数すなわち２、３、４、５等を含むものと理解可能である。用語「接続（connection）」は、間接的な「接続（connection）」および直接的な「接続（connection）」の両者を含み得る。

【0019】

用語「およそ（about）」、「実質的に（substantially）」、「約（approximately）」、およびこれらの変形は、本願の出願時点で利用可能な機器に基づく特定の量の測定と関連付けられた誤差の程度を含むことが意図される。たとえば、「およそ（about）」は、所与の値の±８％、５％、または２％の範囲を含み得る。

【0020】

簡素化のため、本発明の態様の構成および使用と関連する従来の技術は、本明細書において詳しく説明する場合もあれば、詳しく説明しない場合もある。特に、本明細書に記載のさまざまな技術的特徴を実装するコンピュータ・システムおよび特定のコンピュータ・プログラムのさまざまな態様がよく知られている。したがって、本明細書においては簡素化のため、従来の多くの実施態様詳細について、周知のシステムまたはプロセス、あるいはその両方の詳細を提供することなく、簡単に述べるのみとするか、または、全体を省略する。

【0021】

通常のクラウド環境に関する技術的課題は、（たとえば、クラウド提供者またはクラウド管理者による）データおよびアルゴリズムに対する潜在的に非セキュアかつ不要なアクセスである。クラウド提供者は通常、ゲストとして動作する顧客のＶＭを備えたホストとしてハイパーバイザ・コードを実行する。このハイパーバイザ・コードは、複数のＶＭを単一の物理マシン上で動作させ得るのに必要な仮想化機能を提供する。既存のシステムにおいて、ハイパーバイザ（および、その延長として、クラウド管理者であることが多い）は、顧客のデータおよびアルゴリズムの制限された部分にアクセスして仮想化機能を提供することが必要な状況の場合、当該顧客のデータおよびアルゴリズムにアクセス可能である。ハイパーバイザは、ゲスト・データにアクセスして、ゲスト命令を解釈するとともに、ゲストに代わってＩ／Ｏ動作を実行することを求められる場合が多い。ゲストの機能的な正確性のためには、ハイパーバイザのゲスト・メモリへのアクセスが求められる。したがって、本発明の１つまたは複数の実施形態は、非信頼ハイパーバイザを用いてセキュアＶＭをディスパッチする方法を提供する。

【0022】

ホスト・ハイパーバイザの制御下でゲストとして動作する仮想マシンは、当該ゲストの仮想化サービスを透過的に提供するため、当該ハイパーバイザに依拠する。これらのサービスとしては、メモリ管理、命令エミュレーション、および中断処理が挙げられるが、これらに限定されない。本発明の１つまたは複数の実施形態は、セキュア・エンティティと、別の非信頼エンティティとの間で慣例的にこの他方のエンティティによるセキュア・リソースへのアクセスを可能にする任意のインターフェースに適用し得る。たとえば、中断および例外エミュレーションの場合、ハイパーバイザは、通常、ゲストのプレフィックス・エリア（ローコア）に対する読み出しまたは書き込み、あるいはその両方を行う。本明細書において、用語「仮想マシン（VM:virtual machine）」は、物理マシン（コンピュータ機器、プロセッサ等）およびその処理環境（オペレーティング・システム（ＯＳ）、ソフトウェア・リソース等）の論理的表現を表す。仮想マシン状態は、下層のホスト・マシン（物理的なプロセッサまたはプロセッサ集合）上で実行されるハイパーバイザにより維持される。ユーザまたはソフトウェア・リソースの観点から、仮想マシンは、それ自体の独立した物理マシンに見える。本明細書において、用語「ハイパーバイザ（hypervisor）」および「ＶＭモニタ（VMM:VM Monitor）」は、同じホスト・マシン上の複数の（および、場合により異なる）ＯＳを用いた複数のＶＭの実行を管理・許可する処理環境またはプラットフォーム・サービスを表す。ＶＭのディスパッチには、ＶＭの導入プロセスおよびＶＭの起動（または、開始）プロセスが含まれることを理解されたい。別の例において、ＶＭのディスパッチには、ＶＭの起動（または、開始）プロセスが含まれる（たとえば、ＶＭが過去に導入されて既に存在する場合）。

【0023】

ただし、セキュア・ゲストを容易化するには技術的課題が存在し、ホスト・ノード等のコンピュータ・サーバが、ハイパーバイザがＶＭからのデータにアクセスできず、それにより上記のようなサービスを提供できなくなるように、ハイパーバイザとセキュア・ゲストとの間にセキュリティを追加する必要がある。

【0024】

現時点で利用可能な技術的解決手段において、ハイパーバイザ（たとえば、ＩＢＭ（登録商標）によるｚ／ＶＭ（登録商標）、またはオープン・ソース・ソフトウェアであるカーネル・ベースの仮想マシン（ＫＶＭ））は、Ｓｔａｒｔ－Ｉｎｔｅｒｐｒｅｔｉｖｅ－Ｅｘｅｃｕｔｉｏｎ（ＳＩＥ）エントリ・ミリコードを呼び出すＳＩＥ命令の発行によって、物理的な処理ユニットすなわちホスト・サーバ上で新たなＶＭ仮想ＣＰＵ（ｖＣＰＵ）をディスパッチする。ミリコードは、プロセッサ・ハードウェアへの拡張として動作する信頼性が高いファームウェアである。ＳＩＥ命令のオペランドは、状態記述と称する制御ブロックであって、ゲスト状態を含む。既存の実施態様において、この状態記述は、ハイパーバイザのストレージに存在する。ＳＩＥエントリ時には、このゲスト状態（汎用および制御レジスタ、ゲスト命令アドレス、およびゲスト・プログラム・ステータス・ワード（ＰＳＷ）を含む）がミリコードによってハードウェアにロードされる。これにより、ゲストｖＣＰＵは、物理的なプロセッサ上で動作可能となる。ｖＣＰＵがハードウェア上で動作している間、ゲスト状態は、ハードウェアに維持される。ある時点で、ハードウェア／ミリコードは、制御をハイパーバイザに戻す必要がある。これは、ＳＩＥイグジットと称することが多い。これが必要となり得るのは、たとえば、このｖＣＰＵがハイパーバイザによるエミュレーションを要する命令を実行する場合またはｖＣＰＵタイムスライス（すなわち、このｖＣＰＵが物理的なプロセッサ上で動作するために割り当てられる時間）が満了となった場合である。ＳＩＥイグジット時、任意の所与の時間に単一のｖＣＰＵのみをサポートするリソースをハードウェアが有し、その時点ではハイパーバイザ状態をハードウェアにロードする必要があることから、ミリコードは、現時点のゲスト状態を状態記述に保存する。このｖＣＰＵがディスパッチされない間、その状態は、状態記述に維持される。この状態記述がハイパーバイザのストレージ内に存在することから、ハイパーバイザは、このような場合、ＶＭに対するデータを制御しており、場合によっては、ＶＭ上で実行されている命令を解釈するため、このような制御が必要となる。既存のハイパーバイザは、ＳＩＥ命令を通じてこのようなインターフェースを使用することによりｖＣＰＵをディスパッチすることに依拠する。

【0025】

ハイパーバイザがもはやＶＭのデータの制御で信頼されないセキュアＶＭの場合でも、既存のハイパーバイザとの互換性のため、既存のＳＩＥ命令を用いることにより同じハイパーバイザ・インターフェースを通じてセキュアＶＭをディスパッチすることが依然として好ましい（場合によっては、必要な）オプションである。本発明の１つまたは複数の実施形態は、ハイパーバイザ・コードに対する制限された変更を容易化することによってこのような技術的課題に対処し、同じハイパーバイザ・インフラが、通常の非セキュアｖＣＰＵのほか、ハイパーバイザのデータ・アクセスを禁止するセキュアｖＣＰＵをディスパッチために使用可能である。本発明の１つまたは複数の実施形態は、ハードウェア上でのセキュアｖＣＰＵのディスパッチをサポートするセキュア・インターフェース・コントロール（たとえば、ミリコード）におけるＳＩＥ命令の改良された基礎となる実装を使用することにより、既存のハイパーバイザによる既存のＳＩＥ命令を用いたセキュアｖＣＰＵの開始を容易化する。

【0026】

１つまたは複数の例において、このような機能は、ミリコードまたは他のハードウェア・モジュール、あるいはその両方を用いることによって提供可能であり、本明細書においては、ハードウェア・モジュールおよびミリコードを「セキュア・インターフェース・コントロール」と総称する。したがって、本発明の１つまたは複数の実施形態は、現時点で非セキュアｖＣＰＵのディスパッチおよびアンディスパッチに用いられている同じＳＩＥインターフェースをハイパーバイザがセキュアかつ安全に使用し、セキュアｖＣＰＵのディスパッチおよびアンディスパッチをすることを容易化する。

【0027】

ここで、背景技術を簡単に説明した後、ハイパーバイザによるセキュアＶＭのディスパッチのために本発明の１つまたは複数の実施形態で使用する特定の特徴を説明する。本開示は、クラウド・コンピューティングに関する詳細な説明を含むが、本明細書に挙げる教示内容の実装は、クラウド・コンピューティング環境に限定されないことが予め了解される。むしろ、本発明の実施形態は、その他任意の種類の既知のコンピューティング環境または今後開発されるコンピューティング環境と併せて実現可能である。

【0028】

クラウド・コンピューティングは、最小限の管理労力またはサービス提供者との相互作用で迅速に設定および解除し得る設定可能なコンピューティング・リソース（たとえば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシン、およびサービス）の共用プールへの簡便なオンデマンド・ネットワーク・アクセスを可能にするサービス提供のモデルである。このクラウド・モデルは、少なくとも５つの特性、少なくとも３つのサービス・モデル、および少なくとも４つの展開モデルを含み得る。

【0029】

特性は、以下の通りである。

【0030】

オンデマンド・セルフサービス：クラウド利用者は、サービス提供者との人間の相互作用の必要なく、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージ等のコンピューティング機能を一方的に設定可能である。

【0031】

広範なネットワーク・アクセス：各機能は、ネットワーク上で利用可能であり、シン／シックを問わず異種クライアント・プラットフォーム（たとえば、携帯電話、ラップトップ、およびＰＤＡ）による使用を促進する標準的な機構を通じてアクセスされる。

【0032】

リソース・プーリング：マルチテナント・モデルを用いることにより、複数の利用者に対して、提供者のコンピューティング・リソースがプールされる。その際、要求に応じて、さまざまな物理的リソースおよび仮想的リソースが動的に割り当ておよび再割り当てされる。利用者は一般的に、提供されるリソースの正確な場所を制御も把握もできないが、より高い抽象化レベル（たとえば、国、州、またはデータセンタ）では、場所を特定し得る点において、ある意味で場所の独立性が存在する。

【0033】

迅速な柔軟性：各機能は、場合によっては自動的に、高速スケール・アウトするように迅速かつ柔軟に設定され、高速スケール・インするように迅速に解除され得る。利用者にとって、設定に利用可能な機能は、見かけ上は制限なく、いつでも如何なる量でも購入可能である。

【0034】

サービス測定：クラウド・システムは、サービスの種類（たとえば、ストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント）に適した抽象化レベルでの測定機能を利用することによって、リソースの使用を自動的に制御および最適化する。リソースの使用量は、モニタリング、制御、および報告によって、利用サービスの提供者および利用者の両者に透明性をもたらし得る。

【0035】

サービス・モデルは、以下の通りである。

【0036】

サービスとしてのソフトウェア（ＳａａＳ）：利用者に提供される機能は、クラウド・インフラ上で動作する提供者のアプリケーションを使用する。これらのアプリケーションは、ウェブ・ブラウザ等のシン・クライアント・インターフェースを通じて、さまざまなクライアント機器からアクセス可能である（たとえば、ウェブベースの電子メール）。利用者は、ネットワーク、サーバ、オペレーティング・システム、ストレージ、あるいは個々のアプリケーション機能等、下層のクラウド・インフラを管理も制御もしない。ただし、ユーザ固有の限定されたアプリケーション構成の設定については、この限りではない。

【0037】

サービスとしてのプラットフォーム（ＰａａＳ）：利用者に提供される機能は、提供者がサポートするプログラミング言語およびツールを用いて作成された利用者作成または取得アプリケーションをクラウド・インフラ上に展開する。利用者は、ネットワーク、サーバ、オペレーティング・システム、またはストレージ等、下層のクラウド・インフラを管理も制御もしない。ただし、展開されたアプリケーションと、場合によっては、アプリケーション・ホスティング環境の構成とを制御する。

【0038】

サービスとしてのインフラ（ＩａａＳ）：利用者に提供される機能は、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースを設定するが、利用者は、オペレーティング・システムおよびアプリケーション等、任意のソフトウェアを展開および実行可能である。利用者は、下層のクラウド・インフラを管理も制御もしない。ただし、オペレーティング・システム、ストレージ、展開されたアプリケーションを制御するとともに、場合によっては、選択されたネットワーク・コンポーネント（たとえば、ホストのファイアウォール）を限定的に制御する。

【0039】

展開モデルは、以下の通りである。

【0040】

プライベート・クラウド：このクラウド・インフラは、ある組織のために単独で運用される。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスとして存在し得る。

【0041】

コミュニティ・クラウド：このクラウド・インフラは、複数の組織により共有され、懸案事項（たとえば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンス事項）を共有する特定のコミュニティをサポートする。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスとして存在し得る。

【0042】

パブリック・クラウド：このクラウド・インフラは、一般の人々または大規模な業界団体が利用可能で、クラウド・サービスを販売する組織により所有される。

【0043】

ハイブリッド・クラウド：このクラウド・インフラは、２つ以上のクラウド（プライベート、コミュニティ、またはパブリック）の組み合わせであり、それぞれに固有のエンティティは維持する一方、データおよびアプリケーションの移植性（たとえば、クラウド間の負荷分散のためのクラウド・バースティング）を実現する標準または個別の技術により結合される。

【0044】

クラウド・コンピューティング環境は、ステートレス性、低結合、モジュール方式、およびセマンティック相互運用性に焦点を当てたサービス指向型である。クラウド・コンピューティングの中心には、相互接続ノードのネットワークを含むインフラがある。

【0045】

ここで図１を参照して、この図は、例示的なクラウド・コンピューティング環境５０を示している。図示のように、クラウド・コンピューティング環境５０は、たとえば個人用デジタル補助装置（ＰＤＡ）もしくは携帯電話５４Ａ、デスクトップ・コンピュータ５４Ｂ、ラップトップ・コンピュータ５４Ｃ、または自動車コンピュータ・システム５４Ｎ、あるいはその組み合わせ等、クラウド利用者が使用するローカルのコンピュータ機器の通信を可能にする１つまたは複数のクラウド・コンピューティング・ノード１０を具備する。ノード１０は、互いに通信するようにしてもよい。これらは、上述のプライベート、コミュニティ、パブリック、もしくはハイブリッド・クラウド、またはその組み合わせ等、１つまたは複数のネットワークにおいて物理的または仮想的にグループ化されていてもよい（図示せず）。これにより、クラウド・コンピューティング環境５０は、クラウド利用者がローカルのコンピュータ機器上でリソースを維持する必要のないサービスとしてのインフラ、プラットフォーム、またはソフトウェア、あるいはその組み合わせを提供することができる。図１に示すコンピュータ機器５４Ａ～５４Ｎの種類は、例示を意図したものに過ぎず、コンピューティング・ノード１０およびクラウド・コンピューティング環境５０は、（たとえば、ウェブ・ブラウザを用いることにより）任意の種類のネットワークまたはネットワーク・アドレス指定可能な接続、あるいはその両方において、任意の種類のコンピュータ機器と通信可能であることが了解される。

【0046】

ここで図２を参照して、この図は、クラウド・コンピューティング環境５０（図１）が提供する一組の機能的抽象化レイヤを示している。図２に示すコンポーネント、レイヤ、および機能は、例示を意図したものに過ぎず、本発明の実施形態はこれらに限定されないことが予め了解されるものとする。図示のように、以下のレイヤおよび対応する機能が提供される。

【0047】

ハードウェア・ソフトウェア・レイヤ６０は、ハードウェアおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例としては、メインフレーム６１、ＲＩＳＣ（縮小命令セット・コンピュータ）アーキテクチャ・ベースのサーバ６２、サーバ６３、ブレード・サーバ６４、記憶装置６５、およびネットワーク／ネットワーキング・コンポーネント６６が挙げられる。いくつかの実施形態において、ソフトウェア・コンポーネントとしては、ネットワーク・アプリケーション・サーバ・ソフトウェア６７およびデータベース・ソフトウェア６８が挙げられる。

【0048】

仮想化レイヤ７０は、抽象化レイヤを提供し、考え得る仮想エンティティの例としては、仮想マシン７１、仮想ストレージ７２、仮想ネットワーク７３（仮想プライベート・ネットワークを含む）、仮想アプリケーション／オペレーティング・システム７４、および仮想クライアント７５が挙げられる。

【0049】

一例において、管理レイヤ８０は、後述の機能を提供するようにしてもよい。リソース設定８１は、クラウド・コンピューティング環境におけるタスクの実行に利用されるコンピューティング・リソースおよび他のリソースの動的な調達を提供する。測定・価格設定８２は、クラウド・コンピューティング環境においてリソースが利用される場合のコスト追跡ならびにこれらリソースの消費に対する請求もしくはインボイスを提供する。一例において、これらのリソースには、アプリケーション・ソフトウェア・ライセンスが含まれ得る。セキュリティは、クラウド利用者およびタスクの識別情報確認のほか、データおよび他のリソースの保護を提供する。ユーザ・ポータル８３は、利用者およびシステム管理者に対してクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理８４は、所要サービス・レベルを満足するように、クラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル合意（ＳＬＡ）計画・実行８５は、ＳＬＡに従って将来的な要件が見込まれるクラウド・コンピューティング・リソースの事前の取り決めおよび調達を提供する。

【0050】

ワークロード・レイヤ９０は、クラウド・コンピューティング環境を利用可能な機能の例を提供する。このレイヤから提供可能なワークロードおよび機能の例としては、マッピングおよびナビゲーション９１、ソフトウェア開発・ライフサイクル管理９２、仮想教室教育提供９３、データ解析処理９４、トランザクション処理９５、およびソース・コード・バージョニング９６が挙げられる。これらは、一部の例に過ぎず、他の実施形態においては各レイヤに異なるサービスを含み得ることが了解される。

【0051】

図３は、本発明の１つまたは複数の実施形態に係る、例示的なホスト・ノード１０を示している。ホスト・ノード１０は、ネットワーク１６５を介して、１つまたは複数のクライアント機器２０Ａ～２０Ｃと連通している。また、クライアント機器２０Ａ～２０Ｃは、ホスト・ノード１０と直接通信可能である。ホスト・ノード１０としては、クラウド・コンピューティング提供者のデータセンタまたはホスト・サーバが可能である。ホスト・ノード１０は、１つまたは複数の仮想マシン１５（１５Ａ～１５Ｎ）の展開を容易化するハイパーバイザ１２を実行する。ホスト・ノード１０は、セキュア・インターフェース・コントロール１１を含むハードウェア・レイヤまたはミリコード・レイヤ１３をさらに具備する。セキュア・インターフェース・コントロール１１は、ハイパーバイザ１２による仮想マシン１５への１つまたは複数のサービスの提供を容易化する１つまたは複数のハードウェア・モジュールおよびミリコードを含む。既存の技術的解決手段においては、ハイパーバイザ１２とセキュア・インターフェース・コントロール１１との間、セキュア・インターフェース・コントロール１１と１つまたは複数のＶＭ１５との間、ハイパーバイザ１２と１つまたは複数のＶＭ１５との間、およびセキュア・インターフェース・コントロール１１を通じたハイパーバイザ１２からＶＭ１５への通信が存在する。セキュアＶＭ環境を容易化するため、本発明の１つまたは複数の実施形態に係るホスト・ノード１０は、ハイパーバイザ１２と１つまたは複数のＶＭ１５との間の如何なる直接通信も含まない。

【0052】

たとえば、ホスト・ノード１０は、クライアント機器２０Ａによる仮想マシン１５Ａ～１５Ｎのうちの１つまたは複数の展開を容易化し得る。仮想マシン１５Ａ～１５Ｎは、異なるクライアント機器２０Ａ～２０Ｃからの各リクエストに応じて展開されるようになっていてもよい。たとえば、仮想マシン１５Ａがクライアント機器２０Ａにより展開され、仮想マシン１５Ｂがクライアント機器２０Ｂにより展開され、仮想マシン１５Ｃがクライアント機器２０Ｃにより展開されるようになっていてもよい。また、ホスト・ノード１０は、クライアントによる物理的なサーバの設定（仮想マシンとしては動作しない）を容易化し得る。本明細書に記載の各例では、「仮想マシン」の一部として、ホスト・ノード１０におけるリソースの設定を具現化するが、上記技術的解決手段の適用により、物理的なサーバの一部としてリソースを設定可能である。

【0053】

一例において、クライアント機器２０Ａ～２０Ｃは、人物、事業、政府機関、企業内の部署、またはその他任意のエンティティ等、同じエンティティに属していてもよく、また、ホスト・ノード１０は、エンティティのプライベート・クラウドとして運用されるようになっていてもよい。この場合、ホスト・ノード１０は、エンティティに属するクライアント機器２０Ａ～２０Ｃにより展開された仮想マシン１５Ａ～１５Ｎを単独でホスティングする。別の例において、クライアント機器２０Ａ～２０Ｃは、異なるエンティティに属していてもよい。たとえば、第１のエンティティがクライアント機器２０Ａを所有する一方、第２のエンティティがクライアント機器２０Ｂを所有していてもよい。この場合、ホスト・ノード１０は、異なるエンティティの仮想マシンをホスティングするパブリック・クラウドとして運用されるようになっていてもよい。たとえば、仮想マシン１５Ａ～１５Ｎは、仮想マシン１５Ａが仮想マシン１５Ｂへのアクセスを容易化しないシュラウド（被覆）状態（shrouded manner）にて展開されていてもよい。たとえば、ホスト・ノード１０は、ＩＢＭｚＳｙｓｔｅｍｓ（登録商標）ＰｒｏｃｅｓｓｏｒＲｅｓｏｕｒｃｅ／ＳｙｓｔｅｍｓＭａｎａｇｅｒ（ＰＲ／ＳＭ）ＬｏｇｉｃａｌＰａｒｔｉｔｉｏｎ（ＬＰＡＲ）機能を使用して、仮想マシン１５Ａ～１５Ｎを被覆していてもよい。これらＰＲ／ＳＭＬＰＡＲのような機能は、区画間の隔離を提供し、ホスト・ノード１０が、異なる論理区画において、同じ物理的ホスト・ノード１０上の異なるエンティティに対して、２つ以上の仮想マシン１５Ａ～１５Ｎを展開することを容易化する。

【0054】

クライアント機器２０Ａ～２０Ｃのうちのクライアント機器２０Ａは、コンピュータ、スマートフォン、タブレット・コンピュータ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、サーバ・コンピュータ等の通信装置、またはホスト・ノード１０のハイパーバイザ１２による仮想マシンの展開を要求するその他任意の通信装置である。クライアント機器２０Ａは、ハイパーバイザにより受信されるリクエストをネットワーク１６５経由で送るようにしてもよいし、直接送るようにしてもよい。仮想マシン１５Ａ～１５Ｎのうちの仮想マシン１５Ａは、クライアント機器２０Ａ～２０Ｃのうちのクライアント機器２０Ａからのリクエストに応じてハイパーバイザ１２が展開する仮想マシン・イメージである。ハイパーバイザ１２は、仮想マシン・モニタ（ＶＭＭ）であり、これは、仮想マシンを生成して実行するソフトウェア、ファームウェア、またはハードウェアであってもよい。ハイパーバイザ１２は、プログラムの実行またはデータの格納、あるいはその両方のための仮想マシン１５Ａによるホスト・ノード１０のハードウェア・コンポーネントの使用を容易化する。適当な機能および改良を伴って、ハイパーバイザ１２は、ＩＢＭｚＳｙｓｔｅｍｓ（登録商標）、ＯＲＡＣＬＥＶＭＳＥＲＶＥＲ（登録商標）、ＣＩＴＲＩＸＸＥＮＳＥＲＶＥＲ（登録商標）、ＶＭＷＡＲＥＥＳＸ（登録商標）、ＭＩＣＲＯＳＯＦＴＨＹＰＥＲ－Ｖ（登録商標）、またはその他任意のハイパーバイザであってもよい。ハイパーバイザ１２は、ホスト・ノード１０上で直接実行されるネイティブ・ハイパーバイザであってもよいし、別のハイパーバイザ上で実行されるホスト・ハイパーバイザであってもよい。

【0055】

図４は、本発明の１つまたは複数の実施形態に係る、例示的なホスト・ノードの構成要素を示している。ホスト・ノード１０は、サーバ・コンピュータ、デスクトップ・コンピュータ、タブレット・コンピュータ、スマートフォン等のコンピュータ、またはハイパーバイザ１２を実行し、そして、ハイパーバイザ１２が仮想マシン１５Ａ～１５Ｎを展開するその他任意のコンピュータであってもよい。ホスト・ノード１０は、電子回路等のハードウェアを含む構成要素を具備する。ホスト・ノード１０は、他の構成要素の中でもとりわけ、プロセッサ１０５、メモリ・コントローラ１１５に結合されたメモリ１１０、ならびにローカルＩ／Ｏコントローラ１３５を介して通信可能に結合された周辺機器または制御機器等の１つまたは複数の入力装置１４５または出力装置１４０，あるいはその両方を具備する。これらの装置１４０および１４５としては、たとえばバッテリ・センサ、位置センサ（高度計４０、加速度計４２、ＧＰＳ４４）、インジケータ／識別灯等が挙げられる。従来のキーボード１５０およびマウス１５５等の入力装置は、Ｉ／Ｏコントローラ１３５に結合されていてもよい。Ｉ／Ｏコントローラ１３５は、当技術分野において知られているように、たとえば１つもしくは複数のバスまたは他の有線もしくは無線接続であってもよい。Ｉ／Ｏコントローラ１３５は、コントローラ、バッファ（キャッシュ）、ドライバ、リピータ、およびレシーバ等、通信を可能にする付加的な要素（簡素化のため省略）を有していてもよい。

【0056】

入出力装置１４０、１４５は、入力および出力の両者を伝達するデバイス（たとえば、ディスクおよびテープ・ストレージ、ネットワーク・インターフェース・カード（ＮＩＣ）または変調器／復調器（他のファイル、機器、システム、またはネットワークへのアクセス用）、無線周波数（ＲＦ）または他の送受信機、電話インターフェース、ブリッジ、ルータ等）をさらに含んでいてもよい。

【0057】

プロセッサ１０５は、特にメモリ１１０に格納されたハードウェア命令またはソフトウェアを実行するためのハードウェア・デバイスである。プロセッサ１０５は、特注もしくは市販のプロセッサ、中央演算処理装置（ＣＰＵ）、ホスト・ノード１０と関連付けられた複数のプロセッサ間の補助プロセッサ、半導体ベースのマイクロプロセッサ（マイクロチップまたはチップ・セットの形態）、マクロプロセッサ、または命令を実行する他のデバイスであってもよい。プロセッサ１０５は、キャッシュ１７０を具備する。キャッシュ１７０としては、実行可能命令のフェッチを加速させる命令キャッシュ、データのフェッチおよび格納を加速させるデータ・キャッシュ、ならびに実行可能命令およびデータの両者について、仮想－物理アドレス変換の加速に用いられる変換ルックアサイド・バッファ（ＴＬＢ）が挙げられるが、これらに限定されない。キャッシュ１７０は、より多くのキャッシュ・レベル（Ｌ１、Ｌ２等）の階層として構造化されていてもよい。

【0058】

メモリ１１０は、揮発性メモリ素子（たとえば、ＤＲＡＭ、ＳＲＡＭ、ＳＤＲＡＭ等のランダム・アクセス・メモリ（ＲＡＭ））および不揮発性メモリ素子（たとえば、フラッシュ・メモリ、ＲＯＭ、消去・プログラム可能リード・オンリー・メモリ（ＥＰＲＯＭ）、電子的消去・プログラム可能リード・オンリー・メモリ（ＥＥＰＲＯＭ）、プログラム可能リード・オンリー・メモリ（ＰＲＯＭ）、テープ、コンパクト・ディスク・リード・オンリー・メモリ（ＣＤ－ＲＯＭ）、ディスク、ディスケット、カートリッジ、カセット等）の一方または組み合わせを含んでいてもよい。さらに、メモリ１１０は、電子的、磁気的、光学的、または他種の記憶媒体を内蔵していてもよい。なお、メモリ１１０は、さまざまな構成要素が相互に離れて配置される一方でプロセッサ１０５によりアクセス可能な分散アーキテクチャを有していてもよい。

【0059】

メモリ１１０中の命令には、１つまたは複数の別個のプログラムが含まれていてもよく、プログラムはそれぞれ、論理的機能を実装する実行可能命令の順序付き一覧表を備える。図２の例において、メモリ１１０中の命令には、ハイパーバイザ１２を実行する好適なオペレーティング・システム（ＯＳ）が含まれる。オペレーティング・システムは、他のコンピュータ・プログラムの実行を制御するようにしてもよく、また、スケジューリング、入出力制御、ファイルおよびデータ管理、メモリ管理、ならびに通信制御および関連サービスを提供する。一例においては、ｚＳｙｓｔｅｍ（登録商標）等、ホスト・ノード１０の製造業者がハイパーバイザ１２を提供するようにしてもよい。ｚＳｙｓｔｅｍ（登録商標）とは異なる構造のシステムの場合は、ハイパーバイザ１２がハードウェア製造業者により提供されることはないが、提供されるクラウド・コンピューティングがＶＭＷＡＲＥ等のハイパーバイザ提供者からのハイパーバイザ１２を使用するようにしてもよい。一例において、物理的なホスト・ノード１０の管理者は、製造業者が提供するサービスの適用に必要な場合を除いて、ハイパーバイザ１２を修正することはできない。たとえば、ハイパーバイザ１２は、ホスト・ノード１０の「認定内部コード（LIC:Licensed Internal Code）」またはマイクロコード、あるいはその両方の一部として提供されるようになっていてもよい。

【0060】

たとえばプロセッサ１０５に対する命令等の読み出し可能な情報を含む付加的なデータがストレージ１２０に格納されていてもよく、これは、ハードディスク・ドライブまたはソリッド・ステート・ドライブ等の記憶装置であってもよい。メモリ１１０またはストレージ１２０に格納された命令には、本開示のシステムおよび方法の１つまたは複数の態様のプロセッサによる実行を可能にする命令が含まれていてもよい。

【0061】

ホスト・ノード１０は、ユーザ・インターフェースまたはディスプレイ１３０に結合されたディスプレイ・コントローラ１２５をさらに具備していてもよい。いくつかの実施形態において、ディスプレイ１３０は、ＬＣＤ画面であってもよい。他の実施形態において、ディスプレイ１３０は、複数のＬＥＤステータス・ライトを含んでいてもよい。いくつかの実施形態において、ホスト・ノード１０は、ネットワーク１６５への結合のためのネットワーク・インターフェース１６０をさらに具備していてもよい。ネットワーク１６５は、広帯域接続を介したホスト・ノード１０と外部サーバ、クライアント等との間の通信のためのＩＰベースのネットワークであってもよい。一実施形態において、ネットワーク１６５は、衛星ネットワークであってもよい。ネットワーク１６５は、ホスト・ノード１０と外部システムとの間でデータを送受信する。いくつかの実施形態において、ネットワーク１６５は、サービス・プロバイダが管理する管理ＩＰ網であってもよい。ネットワーク１６５は、たとえばＷｉＦｉ、ＷｉＭａｘ、衛星、またはその他任意等、無線プロトコルおよび技術を用いた無線形式で実装されていてもよい。また、ネットワーク１６５は、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、メトロポリタン・エリア・ネットワーク、インターネット、または他の類似種類のネットワーク環境等のパケット交換網であってもよい。ネットワーク１６５は、固定無線ネットワーク、無線ローカル・エリア・ネットワーク（ＬＡＮ）、無線ワイド・エリア・ネットワーク（ＷＡＮ）、パーソナル・エリア・ネットワーク（ＰＡＮ）、仮想プライベート・ネットワーク（ＶＰＮ）、インターネット、または他の好適なネットワーク・システムであってもよく、また、信号を送受信する機器を具備していてもよい。

【0062】

クライアント機器２０Ａは、ホスト・ノード１０の特定のハードウェアまたはソフトウェア・コンポーネント、あるいはその両方へのアクセスと併せて、対応する仮想マシン１５Ａの展開をハイパーバイザ１２に要求するようにしてもよい。たとえば、クライアント機器２０Ａは、所定数のプロセッサ、所定量の揮発性メモリ（ランダム・アクセス・メモリ（ＲＡＭ）等）、所定量の不揮発性メモリ（ストレージ空間等）、またはその他任意のハードウェア・コンポーネントに仮想マシン１５Ａがアクセスできるように要求してもよい。この代替または追加として、クライアント機器２０Ａは、対応する一意の識別子により識別される電子回路等の特定のハードウェア・コンポーネントに仮想マシン１５Ａがアクセスできるように要求してもよい。たとえば、クライアント機器２０Ａは、特定種類のプロセッサ、コプロセッサ、ネットワーク・カード、またはその他任意のチップもしくは電子回路に仮想マシン１５Ａがアクセスできるように要求してもよい。一例において、クライアント機器２０Ａは、電子回路の製造業者が提供する識別子を用いて電子回路を識別するようにしてもよい。一例において、識別子は、バージョン識別子と併用されるようになっていてもよい。この代替または追加として、クライアント機器２０Ａは、オペレーティング・システム、アプリケーション、基本入出力システム（ＢＩＯＳ）、ブート・イメージ等の特定のソフトウェア・コンポーネント、またはその他任意のソフトウェア・コンポーネントに仮想マシン１５Ａがアクセスできるように要求してもよい。要求されるソフトウェア・コンポーネントには、ホスト・ノード１０のハードウェア・コンポーネント中のファームウェアおよび組み込みプログラムが含まれていてもよい。クライアント機器２０Ａは、各ソフトウェア・コンポーネントの開発業者／製造業者が提供する一意の識別子を用いて、要求されるソフトウェア・コンポーネントを識別するようにしてもよい。一例において、識別子は、ソフトウェア・コンポーネントのバージョン識別子と併用されるようになっていてもよい。

【0063】

上述の通り、セキュアＶＭとなる仮想マシン１５Ａの場合は、当該仮想マシン１５Ａと関連付けられたメモリ１１０、ストレージ１２０、レジスタ、およびその他任意のデータの部分へのすべての非セキュア・ゲストおよびハイパーバイザ１２によるアクセスが禁止される。１つまたは複数の例において、ハイパーバイザ１２は、任意所与の常駐セキュア・ゲスト・ページについて、単一のハイパーバイザ（ホスト）ＤＡＴマッピングによってのみ、関連するホスト絶対アドレスがアクセス可能となるように保証する。すなわち、セキュアＶＭ１５Ａに割り当てられた任意所与のホスト絶対アドレスに対して、単一のホスト仮想アドレスがマッピングされる。さらに、任意所与のセキュア・ゲスト・ページと関連付けられたハイパーバイザＤＡＴマッピング（ホスト仮想－ホスト絶対）は、ページインの間は変化しない。さらに、任意のセキュア・ゲスト・ページと関連付けられたホスト絶対ページは、単一のセキュア・ゲストに対してのみマッピングされる。また、特にセキュアＶＭ１５Ａの場合は、仮想マシン１５間でメモリ／レジスタが共有されない。さらに、１つまたは複数の例において、ハイパーバイザ１２は、ストレージ１２０のセキュア部分をセキュア・インターフェース・コントロール１１に割り当てる。このストレージ１２０のセキュア部分は、セキュア・インターフェース・コントロール１１のみが、割り当てられた場合にアクセス可能である。セキュア部分がセキュア・インターフェース・コントロール１１に割り当てられた場合は、仮想マシン１５またはハイパーバイザ１２、あるいはその両方がセキュア部分の内容にアクセスできない。

【0064】

これらのルールに対する如何なる未遂の違反も、セキュア・インターフェース・コントロール１１およびホスト・ノード１０により禁止され、警報を発することができる。この警報は、１人または複数の担当者への通知の送信、ホスト・ノード１０の動作の停止、１つまたは複数のクライアント機器２０からのリクエストの遮断、セキュアＶＭ１５（および、その他任意のセキュアＶＭ）の動作の停止等によって発することができる。

【0065】

図５は、本発明の１つまたは複数の実施形態に係る、ハイパーバイザがセキュアＶＭを開始する例示的な方法のフローチャートである。この方法は、５０１において、クライアント機器２０ＡからセキュアＶＭ１５Ａの開始のリクエストを受信することを含み得る。１つまたは複数の例において、このリクエストは、別のＶＭ１５Ｂ～１５Ｎ、ハイパーバイザ１２が実行しているコンピュータ・アプリケーション、管理者等のその他任意のソースから受信されるようになっていてもよい。

【0066】

この方法は、５０５において、ＳＩＥ（ＳｔａｒｔＩｎｔｅｒｐｒｅｔｉｖｅＥｘｅｃｕｔｉｏｎ）命令のオペランドとして状態記述子（ＳＤ）を生成することを含む。ＳＤは、セキュアＶＭに割り当てられたプロセッサ１０５上のエミュレーション対象のセキュアｖＣＰＵ状態、クライアント機器２０Ａによるリクエストに基づくｖＣＰＵ状態を規定するフィールドを含む。１つまたは複数の例において、プロセッサ１０５は、セキュアＶＭ１５Ａを開始したクライアント２０の要求に応じて別のプロセッサ・アーキテクチャの動作をエミュレートとするように指示可能であることから、仮想プロセッサと考えられる。

【0067】

図６は、本発明の１つまたは複数の実施形態に係る、ＳＤの例示的な構造を示している。１つまたは複数の例においては、セキュアＶＭおよび非セキュアＶＭの両者に同じＳＤフォーマットが用いられる。

【0068】

本発明の１つまたは複数の実施形態によれば、状態記述子（ＳＤ）６００は、ディスパッチ対象のＶＭがセキュアであるか非セキュアであるかを示すのに用いられるモード制御フィールド６０２を含む。１つまたは複数の例において、モード制御フィールド６０２としては、ビットで有り得る。

【0069】

さらに、ＳＤ６００がセキュアＶＭ用であることをモード制御フィールド６０２が示す場合は、ディスパッチ対象の特定のセキュアＶＭ１５Ａのセキュア・ゲスト・ドメインＩＤを一意識別指定子６０４が与える。非セキュアＶＭの場合は、一意識別指定子６０４が使用されず、ゼロ（または、当該フィールドが使用対象外であることを示すその他任意の値）等のデフォルト値を含み得る。

【0070】

さらに、ＳＤ６００（ここでは、親ＳＤと称する）は、セキュアＳＤブロックへのポインタ６０８を含む。親ＳＤおよびその対応するセキュアＳＤは、状態記述対と呼ばれる。セキュアＳＤへのポインタ６０８は、セキュアＶＭの場合は有効値を含み、非セキュアＶＭがディスパッチ対象である場合はヌル値に設定される。セキュアＳＤへの有効なポインタ６０８は、セキュアＳＤブロック６５０の記憶場所を指定する。セキュアＳＤブロック６５０は、セキュア・インターフェース・コントロール１１のみによりアクセスされるように割り当てられたメモリ１１０のセキュア部分に存在する。セキュアＳＤブロック６５０は、親ＳＤ６００に戻るポインタ６５８を含む。セキュアＳＤに用いられるメモリのセキュア部分は、セキュアＶＭ１５Ａを確立したハイパーバイザ１２によって、セキュア・インターフェース・コントロール１１への提供／割り当てがなされたものである。メモリのセキュア部分は、セキュア・インターフェース・コントロール１１によってのみアクセス可能であり、ハイパーバイザ１２はアクセス不可能である。また、関連するゲスト・ドメインＩＤがタグ付けされていてもよい。他の例においては、メモリのセキュア部分および非セキュア部分間の内容の分離が異なるやり方で実行可能であることに留意するものとする。

【0071】

さらに、ＳＤ６００は、１つまたは複数のＳＤフィールド６０６を含む。１つまたは複数の例において、セキュアＳＤ６５０が使用されている場合は、別の一組のＳＤフィールド６０６もセキュアＳＤ６５０に維持される。セキュアＳＤ６５０からのＳＤフィールド６０６は、セキュア・インターフェース・コントロール１１によってのみアクセス可能である。

【0072】

図７は、本発明の１つまたは複数の実施形態に係る、ＳＤフィールドの例示的な構造を示している。これに関連して、用語「状態記述子（state descriptor）」は、状態記述自体のみならず、ポインタが状態記述中に存在し、拡張機能として作用するサテライト・ブロックも含む。図７に示すように、ＳＤフィールド６０６は、ＶＭ汎用レジスタ（ＧＲ）４０２、アクセスレジスタ（ＡＲ）４０４、制御レジスタ（ＣＲ）４０６、ＶＭタイマー４０８（クロック・コンパレータおよびＣＰＵタイマーを含む）、ＶＭプレフィックス・レジスタ４１０、論理区画番号（ＬＰＮ）４３２、仮想ＣＰＵ番号（ＶＣＮ）４１２、スレッド有効性マスク（ＴＶＭ）４３０、プログラム・ステータス・ワード（ＰＳＷ）、および命令アドレス（ＩＡ）４１４を含み得る。また、特定の命令（たとえば、ロード・プログラム・ステータス・ワード（ＬＰＳＷ）および無効ページ・テーブル・エントリ（ＩＰＴＥ））がホストへのインターセプトを要求するかを示すインターセプト制御（ＩＣ）ビット４２０等の制御情報を含み得る。図示のＳＤフィールド６０６は例示であり、本発明の１つまたは複数の実施形態においては異なっていてもよく、たとえば、他のＶＭ状態に対して、他のさまざまなフィールドを含む。

【0073】

図５のフローチャートを再び参照して、ハイパーバイザ１２は、ＳＤ６００をオペランドとするＳＩＥ命令（その実行は、セキュア・インターフェース・コントロール１１により行われる）を発行する。ＳＩＥ（ＳｔａｒｔＩｎｔｅｒｐｒｅｔｉｖｅＥｘｅｃｕｔｉｏｎ）命令は、ＶＭ１５の開始ならびにプロセッサ１０５および他のコンピューティング・リソースのＶＭ１５への割り当てに使用される。５１０において、セキュア・インターフェース・コントロール１１は、ＳＤ６００のモード制御フィールド６０２に基づいて、ディスパッチ対象のＶＭがセキュアであるかを判定する。この場合のように、非セキュアＶＭがディスパッチ対象であるときには、５１５において、ＳＤ６００のＳＤフィールド６０６が用いられて非セキュアＶＭ１５Ｂをディスパッチする。ＳＩＥ命令は、プロセッサ１０５を、ＳＤに規定のエミュレーション状態とする。

【0074】

あるいは、セキュアＶＭがディスパッチ対象である場合（５１０）、セキュア・インターフェース・コントロール１１は、５２０において、セキュアＶＭの正確性を確認する。これは、対となっているセキュアＳＤ６５０と親ＳＤ６００との間でＳＤフィールド６０６に格納されたさまざまな値の整合性を確保することにより実行される。１つまたは複数の例において、ＳＤフィールド６０６は、整合性確認を受ける情報（たとえば、キー、ハンドル）を含む。たとえば、セキュアＳＤアドレスは、非セキュアな親ＳＤ６００から取得される。対をなすセキュア状態記述（６５０）から取得された親ＳＤアドレス（６５８）は、元のＳＩＥオペランド・アドレス（すなわち、非セキュアＳＤ６００へのポインタ）に一致することが予想される。ドメインＩＤのような他の情報についても、セキュアＳＤおよび非セキュアＳＤの両者に保存されており、両者の値が等しくなるように確認可能である。

【0075】

セキュアＶＭがディスパッチ対象であり、非セキュアな親ＳＤ６００と対をなすセキュアＳＤ６５０との整合性確認に失敗してセキュアＶＭ１５Ａの状態が無効と考えられる場合は、ディスパッチが中断され、視聴覚的な通知、メッセージ等の対応する通知（図示せず）が送られる。ＶＭ状態の正確性が５２０で確認された場合、セキュア・インターフェース・コントロール１１は、５２５において、１つまたは複数のビットをハードウェアに設定することにより、セキュア・モードでセキュアＶＭ１５Ａに割り当てられるものとしてコンピューティング・リソースを構成する。

【0076】

さらに、５３０においては、セキュア・ゲスト・ドメインＩＤ６０４がハードウェアおよび他のコンピューティング・リソースにロードされ、セキュアＶＭ１５Ａのセキュア実行環境が確立される。セキュア実行環境にはさまざまなモードが存在し、通常は、ディスパッチ対象のセキュアＶＭ１５Ａの状態へのハイパーバイザ１２によるアクセスに対する様々な制限を提供する。１つまたは複数の例において、このようなモードは、セキュアＶＭ１５Ａが関与するワークフローのデバッグを容易化するが、本発明の１つまたは複数の実施形態においては、別の用途も可能である。

【0077】

たとえば、セキュアＶＭ１５Ａのセキュア実行環境に関して、透過モード、半透過モード、および全透過モードという３つのデバッグ・セキュリティ動作モードを考える。透過デバッグ・モードは、ハイパーバイザ１２がＶＭ１５のレジスタのみを確認でき、ＶＭ１５と関連付けられたセキュア・メモリについては確認できないようにするために使用される。このモードにおいては、非セキュアな親ＳＤ６００がＶＭ１５に対してレジスタを保持し、他のモードで確認（５２０）に用いられることになるセキュアＳＤ６５０は使用されない。半透過モードにおいては、ＶＭ１５のレジスタがセキュアＳＤ６５０に保存されているものの、命令のインターセプトまたはＶＭ１５の中断に際して、セキュア・インターフェース・コントロール１１は、非セキュアな親ＳＤ６００へのレジスタのコピーによって、ハイパーバイザ１２に見せるレジスタを決定する。不透過モードにおいては、ゲスト・レジスタが全くハイパーバイザ１２に見えず、セキュアＳＤ６５０においてのみ維持される。

【0078】

この方法（図５）では、５３５において、セキュア・インターフェース・コントロール制御に基づいて選択されたデバッグ・セキュリティ・モードを決定する。これらの動作モードを提供するハードウェア制御は、セキュアＳＤ６５０に保存されたデバッグマスク・フィールドによってマスクされる。すなわち、セキュアＳＤ６５０は、３つのデバッグ・モードのうちの許可されるものを示す情報を有する。セキュア・インターフェース・コントロール１１は、必要に応じて、実行時にセキュアＳＤ６５０のデバッグマスクを変更可能である。全透過モードが選択された場合は、５４０において、ＶＭ１５のディスパッチに非セキュアＳＤ６００のＳＤフィールド６０６が使用される。この場合、ハイパーバイザは、ディスパッチされたＶＭ１５のレジスタ状態全体にアクセス可能である。半透過モードまたは不透過モードが選択された場合は、５４５および５５０においてそれぞれ、セキュアＳＤ６５０のＳＤフィールド６０６を用いてセキュアＶＭ１５Ａがディスパッチされる。その後、終了条件に達するまで（５６５）、ディスパッチされたＶＭが実行される（５６０）。終了条件としては、命令または中断解釈、ＶＭの終了を求めるユーザ・リクエスト等が挙げられる。

【0079】

図８は、本発明の１つまたは複数の実施形態に係る、選択されたデバッグ・セキュリティ・モードに応じてセキュアＶＭの終了を容易化する方法のフローチャートである。この方法は、８０１において、ＶＭの終了条件の発生により開始となる。セキュア・インターフェース・コントロール１１は、８０５において、ディスパッチされたときにＶＭに対して選択されたデバッグ・セキュリティ・モードを確認する。

【0080】

全透過モードが選択された場合（８０５）、ＶＭ状態は、非セキュア状態記述６００のＳＤフィールド６０６に格納される。すなわち、既存の解決手段のように、８１０において、非セキュアＶＭと同様にＶＭが終了となる。ＶＭ１５と関連付けられたコンピューティング・リソースは、当該コンピューティング・リソースの１つまたは複数のパラメータの設定によって、ハイパーバイザ・モードとなるように構成されている（８５０）。ＳＤ６００のＳＤフィールド６０６は、非セキュア・メモリに存在し、ハイパーバイザ１２がアクセス可能である。

【0081】

不透過デバッグ・セキュリティ・モードが選択された場合（８０５）は、ＶＭ１５がセキュアＶＭとして終了となり、ハイパーバイザは、ＶＭ終了後であれ、如何なるデータ／メモリにもＶＭ状態の他のパラメータにもアクセスできない。したがって、セキュア・インターフェース・コントロール１１は、８２０において、ＶＭ状態をセキュアＳＤ６５０のＳＤフィールド６０６に保存するが、これはメモリ１１０のセキュア部分に存在し、ハイパーバイザ１２によるアクセスが不可能である。さらに、セキュア・インターフェース・コントロール１１は、８２２において、ＶＭ１５と関連付けられたコンピューティング・リソースが非セキュア・モードで動作するように再設定する。

【0082】

半透過デバッグ・セキュリティ・モードが選択された場合、セキュア・インターフェース・コントロール１１は、８３０において、ＶＭ１５と関連付けられたタスクの完了にハイパーバイザの補助が要求されたかを判定する。このような補助の要求は、たとえばＶＭ１５と関連付けられた１つもしくは複数の値がハイパーバイザ１２を介したアクセスを受けてデバッグされる場合またはその他任意のこのようなタスクの場合になされ得る。ハイパーバイザの補助が要求された場合、セキュア・インターフェース・コントロール１１は、８３２において、ＶＭ１５の終了に際してハイパーバイザがアクセス可能となるＶＭ１５と関連付けられたデータを決定する。１つまたは複数の例において、補助の要求には、ハイパーバイザ１２がアクセス可能となるべきＶＭ１５のレジスタの指定が含まれる。この代替または追加として、補助の要求には、ＶＭ１５の終了に際してハイパーバイザ１２がアクセス可能となるべきＶＭ状態のその他任意のパラメータの指定が含まれていてもよい。

【0083】

セキュア・インターフェース・コントロール１１は、８３４において、ハイパーバイザ１２がアクセス可能となるべきＶＭ状態の決定したパラメータ／データを非セキュアＳＤ６００のＳＤフィールド６０６に格納する。したがって、ＳＤ６００がメモリ１１０の非セキュア部分に存在することから、格納されたデータにハイパーバイザ１２がアクセス可能となる。さらに、８２０において、セキュア・インターフェース・コントロール１１は、ＶＭ状態をセキュアＳＤ６５０のＳＤフィールド６０６に保存するが、これはメモリ１１０のセキュア部分に存在し、ハイパーバイザ１２によるアクセスが不可能である。さらに、セキュア・インターフェース・コントロール１１は、８２２において、ＶＭ１５と関連付けられたコンピューティング・リソースが非セキュア・モードで動作するように再設定するとともに、ハイパーバイザ状態をハードウェアにロードする。

【0084】

ハイパーバイザの補助が要求されない場合（８３０）、セキュア・インターフェース・コントロール１１は、８２０において、ＶＭ状態をセキュアＳＤ６５０のＳＤフィールド６０６に保存するが、これはハイパーバイザ１２によるアクセスが不可能である。さらに、セキュア・インターフェース・コントロール１１は、８２２において、ＶＭ１５と関連付けられたコンピューティング・リソースが非セキュア・モードで動作するように再設定する。

【0085】

３つのデバッグ・セキュリティ・モードすべてについて、ＶＭ状態を保存した後、セキュア・インターフェース・コントロール１１は、８５０において、終了となってハイパーバイザ１２に戻り、ホスト・ノード１０の別の動作を継続する。

【0086】

したがって、本発明の１つまたは複数の実施形態は、セキュアＶＭまたは非セキュアＶＭとしてのＶＭのディスパッチおよび終了（アンディスパッチ）を容易化し、さらに、ハイパーバイザまたはシステムの他のＶＭ、あるいはその両方によるアクセスからデータをセキュアに保つ。

【0087】

本発明の１つまたは複数の実施形態によれば、セキュアＶＭをディスパッチするためのハイパーバイザまたはセキュアＶＭコード／アーキテクチャ、あるいはその両方の変更の必要なく、関連付けられたメモリ、レジスタ、および他のデータへのハイパーバイザのアクセスを禁止するセキュアＶＭをコンピュータ・サーバがホスティング可能である。代替として、本発明の１つまたは複数の実施形態によれば、ミリコードを含むセキュア・インターフェース・コントロールが、状態記述子の改良された構造およびストレージ／メモリのセキュア部分の使用により、データの保護を容易化する。また、当該セキュア・インターフェース・コントロールは、デバッグ・セキュリティ・モードに基づいて、ＶＭ状態からのデータを格納し、１つまたは複数のパラメータへのハイパーバイザによるアクセスを可能とするべき場合に、セキュア・インターフェース・コントロール（ミリコード）がそれを実行可能となるようにする。

【0088】

本発明の１つまたは複数の実施形態は、コンピュータ技術、特に、仮想マシンをホスティングするコンピュータ・サーバに基づく。さらに、本発明の１つまたは複数の実施形態は、ＶＭをホスティングするコンピュータ・サーバによるセキュアＶＭ（ハイパーバイザでさえ、セキュアＶＭに関連付けられたメモリ、レジスタ、および他のデータへのアクセスが禁止されている）のホスティングを容易化することによって、コンピュータ技術自体、特に、仮想マシンをホスティングするコンピュータ・サーバの動作の改善を容易化する。また、本発明の１つまたは複数の実施形態は、セキュアＶＭおよびハイパーバイザの分離を容易化するミリコードを含むセキュア・インターフェース・コントロールを使用することにより、コンピュータ・サーバがホスティングするＶＭのセキュリティを維持することによって、ＶＭをホスティングするコンピュータ・サーバの改善に向けた大きなステップを提供する。セキュア・インターフェース・コントロールは、本明細書に記載の通り、ＶＭの初期化／終了時にＶＭ状態保護への大幅なオーバヘッドの追加なく、セキュリティを容易化する軽い中間動作を提供する。

【0089】

本発明は、考え得る任意の技術的詳細統合レベルにおけるシステム、方法、またはコンピュータ・プログラム製品、あるいはその組み合わせであってもよい。コンピュータ・プログラム製品は、本発明の態様をプロセッサに実行させるコンピュータ可読プログラム命令が格納された（１つまたは複数の）コンピュータ可読記憶媒体を具備していてもよい。

【0090】

コンピュータ可読記憶媒体としては、命令実行デバイスが使用する命令を保持および格納し得る有形デバイスが可能である。コンピュータ可読記憶媒体は、たとえば電子記憶装置、磁気記憶装置、光学記憶装置、電磁記憶装置、半導体記憶装置、またはこれらの任意好適な組み合わせであってもよいが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的な一覧には、携帯型コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ（ＲＡＭ）、リード・オンリー・メモリ（ＲＯＭ）、消去・プログラム可能リード・オンリー・メモリ（ＥＰＲＯＭもしくはフラッシュ・メモリ）、スタティック・ランダム・アクセス・メモリ（ＳＲＡＭ）、携帯型コンパクト・ディスク・リード・オンリー・メモリ（ＣＤ－ＲＯＭ）、デジタル多用途ディスク（ＤＶＤ）、メモリ・スティック、フロッピ（登録商標）・ディスク、パンチカードもしくは命令が記録された溝中の隆起構造等の機械的符号化デバイス、ならびにこれらの任意好適な組み合わせが含まれる。本明細書において、コンピュータ可読記憶媒体は、電波等の自由伝搬電磁波、導波路等の送信媒体を伝搬する電磁波（たとえば、光ファイバ・ケーブルを通過する光パルス）、またはワイヤを通じて送信される電気信号等、本質的に一時的な信号としては解釈されないものとする。

【0091】

本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から各コンピュータ／処理機器にダウンロードすることも可能であるし、たとえばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、または無線ネットワーク、あるいはその組み合わせを介して外部コンピュータまたは外部記憶装置にダウンロードすることも可能である。ネットワークには、送信銅ケーブル、送信光ファイバ、無線送信、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組み合わせが含まれていてもよい。各コンピュータ／処理機器のネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、当該コンピュータ可読プログラム命令を転送して、各コンピュータ／処理機器内のコンピュータ可読記憶媒体に格納する。

【0092】

本発明の動作を実行するコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ（ＩＳＡ）命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の設定データ、あるいはＳｍａｌｌｔａｌｋ（登録商標）、Ｃ＋＋等のオブジェクト指向プログラミング言語ならびに「Ｃ」プログラミング言語もしくは類似のプログラミング言語等の手続き型プログラミング言語を含む１つまたは複数のプログラミング言語の任意の組み合わせで記述されたソース・コードまたはオブジェクト・コードであってもよい。コンピュータ可読プログラム命令は、独立型ソフトウェア・パッケージとして全部または一部をユーザのコンピュータ上で実行するようにしてもよいし、一部をユーザのコンピュータ上、一部をリモート・コンピュータ上で実行するようにしてもよいし、全部をリモート・コンピュータまたはサーバ上で実行するようにしてもよい。後者のシナリオでは、ローカル・エリア・ネットワーク（ＬＡＮ）またはワイド・エリア・ネットワーク（ＷＡＮ）等、任意の種類のネットワークを通じてリモート・コンピュータをユーザのコンピュータに接続するようにしてもよいし、（たとえば、インターネット・サービス・プロバイダを用いることによりインターネットを通じて）外部コンピュータに接続するようにしてもよい。いくつかの実施形態においては、本発明の態様を実行するため、コンピュータ可読プログラム命令の状態情報を利用して電子回路をカスタマイズすることにより、たとえばプログラマブル論理回路、フィールドプログラマブル・ゲート・アレイ（ＦＰＧＡ）、またはプログラマブル・ロジック・アレイ（ＰＬＡ）を含む電子回路がコンピュータ可読プログラム命令を実行するようにしてもよい。

【0093】

本明細書においては、本発明の実施形態に係る方法、装置（システム）、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して、本発明の態様を説明している。フローチャート図またはブロック図あるいはその両方の各ブロックならびにフローチャート図またはブロック図あるいはその両方のブロックの組み合わせは、コンピュータ可読プログラム命令により実装可能であることが了解される。

【0094】

これらのコンピュータ可読プログラム命令は、コンピュータ等のプログラム可能データ処理装置のプロセッサを介した実行によって、フローチャート図またはブロック図あるいはその両方の１つまたは複数のブロックに規定の機能／動作を実装する手段を生成するように、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに提供されてマシンを生成していてもよい。また、これらのコンピュータ可読プログラム命令は、命令が格納されたコンピュータ可読記憶媒体が、フローチャート図またはブロック図あるいはその両方の１つまたは複数のブロックに規定の機能／動作の態様を実装する命令を含む製造品を含むように、コンピュータ、プログラム可能データ処理装置、または他の機器、あるいはその組み合わせに対して特定の様態で機能するように指示し得る当該コンピュータ可読記憶媒体に格納されていてもよい。

【0095】

また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラム可能装置、または他の機器上での実行によって、フローチャートまたはブロック図あるいはその両方の１つまたは複数のブロックに規定の機能／動作を実装するように、コンピュータ、他のプログラム可能データ処理装置、または他の機器へのロードによって、一連の動作ステップをコンピュータ、他のプログラム可能装置、または他の機器上で実行させることにより、コンピュータ実装プロセスを生成するようにしてもよい。

【0096】

図中のフローチャートおよびブロック図は、本発明の種々実施形態に係るシステム、方法、およびコンピュータ・プログラム製品の考え得る実施態様のアーキテクチャ、機能、および動作を示している。この点、フローチャートまたはブロック図の各ブロックは、特定の論理機能を実装する１つまたは複数の実行可能命令を含む命令のモジュール、セグメント、または一部を表していてもよい。いくつかの代替実施態様において、ブロックに記載の機能は、図面に記載の順序から外れて発生するようになっていてもよい。たとえば、連続して示す２つのブロックは実際のところ、関与する機能に応じて、実質的に同時に実行されるようになっていてもよいし、場合により逆の順序で実行されるようになっていてもよい。また、ブロック図またはフローチャート図あるいはその両方の各ブロックならびにブロック図またはフローチャート図あるいはその両方のブロックの組み合わせは、特定の機能または動作を実行する専用ハードウェアベースのシステムにより実装することも可能であるし、専用ハードウェアおよびコンピュータ命令の組み合わせを実行することも可能である。

【0097】

本発明の種々実施形態の説明は、例示を目的として提示しているものの、何ら網羅的でもなければ、開示の実施形態に限定されることを意図したものでもない。上記実施形態の範囲および思想から逸脱することなく、当業者には、多くの改良および変形が明らかとなるであろう。本明細書において使用する専門用語は、上記実施形態の原理、実際の用途、もしくは市場において見られる技術の技術的改良を最もよく説明すること、または、当業他者が本明細書に開示の実施形態を理解できるようにすることを目的として選定したものである。

【図1】