公开(公告)号：DE112020000285T5

公开(公告)日：2021-10-14

申请号：DE112020000285

申请日：2020-03-06

Applicant: IBM

Inventor： BRADBURY JONATHAN ,  SCHWIDEFSKY MARTIN ,  BORNTRAEGER CHRISTIAN ,  HELLER LISA ,  CARSTENS HEIKO ,  BUSABA FADI

IPC: G06F21/57 ,  G06F9/44

Abstract: Ein beispielhaftes, durch einen Computer umgesetztes Verfahren umfasst ein Darstellen, durch eine Hardware-Steuerung eines Datenverarbeitungssystems, einer Ausnahme für eine nicht vertrauenswürdige Entität, wenn die nicht vertrauenswürdige Entität auf eine sichere Seite zugreift, die in einem Arbeitsspeicher des Datenverarbeitungssystems gespeichert ist, wobei die Ausnahme die nicht vertrauenswürdige Entität daran hindert, auf die sichere Seite zuzugreifen. Das Verfahren umfasst in Reaktion auf die Ausnahme ein Ausgeben einer Export-Aufrufroutine durch die nicht vertrauenswürdige Entität. Das Verfahren umfasst ferner ein Ausführen, durch eine sichere Schnittstellensteuerung des Datenverarbeitungssystems, der Export-Aufrufroutine.

公开(公告)号：LT2248020T

公开(公告)日：2021-10-11

申请号：LT09051799

申请日：2009-02-16

Applicant: IBM

Inventor： SZWED PETER ,  OSISEK DAMIAN ,  HELLER LISA ,  FARRELL MARK ,  GAINEY JR CHARLES ,  GREINER DAN

IPC: G06F12/14 ,  G06F11/07

公开(公告)号：DE112020000280T5

公开(公告)日：2021-09-16

申请号：DE112020000280

申请日：2020-02-27

Applicant: IBM

Inventor： BUSABA FADI ,  HELLER LISA ,  BRADBURY JONATHAN ,  BORNTRAEGER CHRISTIAN ,  IMBRENDA CLAUDIO

IPC: G06F21/53 ,  G06F9/455 ,  G06F21/56 ,  G06F21/57

Abstract: Gemäß einer oder mehreren Ausführungsformen der vorliegenden Erfindung umfasst ein durch einen Computer implementiertes Verfahren Ausführen eines Befehlsstroms durch eine virtuelle Maschine, die auf einem Host-Server ausgeführt wird, wobei ein Befehl aus dem Befehlsstrom zu einem Hypervisor abgefangen wird. Auf der Grundlage einer Feststellung, dass es sich bei der virtuellen Maschine um eine sichere virtuelle Maschine handelt, umfasst das Verfahren weiterhin Verhindern, dass der Hypervisor direkt auf Daten der sicheren virtuellen Maschine zugreift. Das Verfahren umfasst weiterhin Durchführen durch eine sichere Schnittstellensteuerung des Host-Servers auf der Grundlage einer Feststellung, dass der Befehl nicht durch die sichere Schnittstellensteuerung selbst interpretiert werden kann, eines Extrahierens einer oder mehrerer Parameterdatenelemente, die dem Befehl von der sicheren virtuellen Maschine zugehörig sind, und Speicherns der Parameterdatenelemente in einem Puffer, auf den der Hypervisor Zugriff hat. Der Befehl wird anschließend zum Hypervisor abgefangen.

公开(公告)号：SG11202105432WA

公开(公告)日：2021-06-29

申请号：SG11202105432W

申请日：2020-02-27

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  BRADBURY JONATHAN ,  HELLER LISA

IPC: G06F21/53 ,  G06F21/57

Abstract: A method, computer program product, and a system where a secure interface control determines whether an instance of a secure guest image can execute based on metadata. The secure interface control (“SC”) obtains metadata linked to an image of a secure guest of an owner and managed by the hypervisor that includes control(s) that indicates whether the hypervisor is permitted to execute an instance of a secure guest generated with the image in the computing system based on system setting(s) in the computing system. The SC intercepts a command by the hypervisor to initiate the instance. The SC determines the presence or the absence of system setting(s) in the computing system. The SC determines if the hypervisor is permitted to execute the instance. If so, the SC enables initiation of the instance by the hypervisor. If not, the SC ignores the command.

公开(公告)号：SG11202105427YA

公开(公告)日：2021-06-29

申请号：SG11202105427Y

申请日：2020-02-17

Applicant: IBM

Inventor： BUENDGEN REINHARD ,  BORNTRAEGER CHRISTIAN ,  BRADBURY JONATHAN ,  BUSABA FADI ,  HELLER LISA ,  MIHAJLOVSKI VIKTOR

IPC: G06F9/455 ,  G06F21/57

Abstract: Secure processing within a computing environment is provided by incrementally decrypting a secure operating system image, including receiving, for a page of the secure operating system image, a page address and a tweak value used during encryption of the page. Processing determines that the tweak value has not previously been used during decryption of another page of the secure operating system image, and decrypts memory page content at the page address using an image encryption key and the tweak value to facilitate obtaining a decrypted secure operating system image. Further, integrity of the secure operating system image is verified, and based on verifying integrity of the secure operating system image, execution of the decrypted secure operating system image is started.

公开(公告)号：AU2020237597A1

公开(公告)日：2021-06-10

申请号：AU2020237597

申请日：2020-02-28

Applicant: IBM

Inventor： BORNTRAEGER CHRISTIAN ,  IMBRENDA CLAUDIO ,  BUSABA FADI ,  BRADBURY JONATHAN ,  HELLER LISA

IPC: G06F21/12 ,  G06F9/455 ,  G06F21/51 ,  G06F21/53 ,  G06F21/57 ,  G06F21/62 ,  G06F21/74

Abstract: A method is provided by a secure interface control of a computer that provides a partial instruction interpretation for an instruction which enables an interruption. The secure interface control fetches a program status word or a control register value from a secure guest storage. The secure interface control notifies an untrusted entity of guest interruption mask updates. The untrusted entity is executed on and in communication with hardware of the computer through the secure interface control to support operations of a secure entity executing on the untrusted entity. The secure interface control receives, from the untrusted entity, a request to present a highest priority, enabled guest interruption in response to the notifying of the guest interruption mask updates. The secure interface control moves interruption information into a guest prefix page and injecting the interruption in the secure entity when an injection of the interruption is determined to be valid.

公开(公告)号：CA3132750A1

公开(公告)日：2020-09-17

申请号：CA3132750

申请日：2020-02-28

Applicant: IBM

Inventor： BUSABA FADI ,  HELLER LISA

IPC: G06F21/12 ,  G06F9/455 ,  G06F21/51 ,  G06F21/53 ,  G06F21/62 ,  G06F21/74

Abstract: According to one or more embodiments of the present invention, a computer implemented method includes receiving, by a hypervisor that is executing on a host server, a request to dispatch a virtual machine. The method further includes, based on a determination that the virtual machine is a secure virtual machine, preventing the hypervisor from directly accessing any data of the secure virtual machine by determining, by a secure interface control of the host server, a security mode of the virtual machine. Based on the security mode being a first mode, the secure interface control loads a virtual machine state from a first state descriptor, which is stored in a non-secure portion of memory. Based on the security mode being a second mode, the secure interface control loads the virtual machine state from a second state descriptor, which is stored in a secure portion of the memory.

公开(公告)号：LT3210115T

公开(公告)日：2019-09-25

申请号：LT15763327

申请日：2015-09-14

Applicant: IBM

Inventor： HELLER LISA ,  BUSABA FADI ,  BRADBURY JONATHAN ,  FARRELL MARK ,  GREINER DAN ,  KUBALA JEFFREY ,  OSISEK DAMIAN ,  SLEGEL TIMOTHY ,  SCHMIDT DONALD

IPC: G06F9/52 ,  G06F9/30 ,  G06F9/455 ,  G06F9/46 ,  G06F9/48

公开(公告)号：ES2677709T3

公开(公告)日：2018-08-06

申请号：ES15711725

申请日：2015-03-19

Applicant: IBM

Inventor： GREINER DAN ,  FARRELL MARK ,  OSISEK DAMIAN ,  SCHMIDT DONALD ,  BUSABA FADI ,  KUBALA JEFFREY ,  BRADBURY JONATHAN ,  HELLER LISA ,  SLEGEL TIMOTHY ,  JACOBI CHRISTIAN

IPC: G06F9/30 ,  G06F9/38 ,  G06F9/50

Abstract: Un sistema informático que comprende: una configuración (102) que comprende un núcleo configurable entre un modo de hilo único (ST) y un modo de multihilo (MT), el modo ST abarca un hilo principal y el modo MT abarca el hilo principal y uno o más hilos secundarios en los recursos compartidos del núcleo; y una facilidad (103) de multihilo configurada para controlar la utilización de la configuración en donde la facilidad de multihilo se adapta para ejecutar en el hilo principal en el modo ST, una instrucción de configuración del modo MT; obtener un número de hilos solicitados desde una ubicación especificada por la instrucción de configuración del modo MT, en donde la instrucción de configuración del modo MT es una instrucción del procesador de señal (SIGP) de un sistema operativo, comprendiendo la instrucción SIGP una orden de configuración MT y una id de hilo máximo especificado por programa (PSMTID) que configura un número de bits para la identificación del hilo asociada con el número de hilos solicitados; habilitar el modo MT para ejecutar los múltiples hilos comprendiendo el hilo principal y el uno o más hilos secundarios en base a determinar que el número de hilos solicitados indica múltiples hilos y ejecutar la orden de configuración de MT con un valor distinto de cero del PSMTID; y mantenerse en el modo ST y evitar la habilitación del modo MT en base a la ejecución de la orden de configuración de MT con un valor cero del PSMTID.

公开(公告)号：CA2800640C

公开(公告)日：2017-12-12

申请号：CA2800640

申请日：2010-11-08

Applicant: IBM

Inventor： GREINER DAN ,  OSISEK DAMIAN LEO ,  SLEGEL TIMOTHY ,  HELLER LISA

IPC: G06F9/455 ,  G06F9/30

Abstract: In a processor supporting execution of a plurality of functions of an instruction, an instruction blocking value is set for blocking one or more of the plurality of functions, such that an attempt to execute one of the blocked functions, will result in a program exception and the instruction will not execute, however the same instruction will be able to execute any of the functions that are not blocked functions.