-
公开(公告)号:WO2014207581A3
公开(公告)日:2015-04-09
申请号:PCT/IB2014059780
申请日:2014-03-14
Inventor: BACHER UTZ , BUENDGEN REINHARD , LUECK EINAR
IPC: G06F9/44
CPC classification number: G06F21/602 , G06F9/45558 , G06F9/542 , G06F21/57 , G06F2009/45587
Abstract: A method for processing a guest event in a hypervisor-controlled system (10), comprising the steps: (i) the guest event triggering a first firmware service being specific for the guest event in a firmware (70), the guest event being associated with a guest (20) and with a guest state (52) and a guest memory (22) encrypted with a guest key (24); (ii) the firmware (70) processing information associated with the guest event, comprising information of the guest state (52) and the guest memory (22), and presenting only a subset of the information of the guest state (52) and the guest memory (22) in decrypted form to a hypervisor (30), wherein the subset of the information is selected to suffice for the hypervisor (30) to process the guest event; (iii) the firmware (70) retaining a part of the information of the guest state (52) and the guest memory (22) that is not being sent to the hypervisor (30); (iv) the hypervisor (30) processing the guest event based on the received subset of the information of the guest state (52) and the guest memory (22) and sending a process result to the firmware (70) triggering a second firmware service being specific for the guest event; (v) the firmware (70) processing the received process result together with the part of the information of the guest state (52) and the guest memory (22) that was not sent to the hypervisor (30), generating a state and/or memory modification;(vi) the firmware (70) performing the state and/or memory modification associated with the guest event at the guest memory (22) in encrypted form.
Abstract translation: 一种用于处理管理程序控制系统(10)中的客户事件的方法,包括以下步骤:(i)客户事件触发在固件(70)中特定于访客事件的第一固件服务,客户事件被关联 与宾客(20)以及宾客状态(52)和客人记忆体(22)用客人键(24)加密; (ii)所述固件(70)处理与所述客户事件相关联的信息,包括所述访客状态(52)和所述访客存储器(22)的信息,以及仅呈现所述访客状态(52)的信息的子集和 客户机存储器(22)以解密的形式发送到管理程序(30),其中所述信息的子集被选择为足以管理程序(30)处理客人事件; (iii)保持未被发送到管理程序(30)的客户状态信息(52)和客户机存储器(22)的一部分的固件(70); (iv)所述虚拟机管理程序(30)基于接收到的状态信息(52)和来宾存储器(22)的所接收的子集来处理客体事件,并将处理结果发送到固件(70),以触发第二固件服务 特定于客人活动; (v)固件(70)与未发送到管理程序(30)的访客状态(52)和来宾存储器(22)的部分信息一起处理接收的处理结果,生成状态和/ 或存储器修改;(vi)固件(70)以加密形式执行与访客存储器(22)处的客户事件相关联的状态和/或存储器修改。
-
公开(公告)号:DE112020000289T5
公开(公告)日:2021-10-14
申请号:DE112020000289
申请日:2020-03-06
Applicant: IBM
Inventor: BACHER UTZ , BUENDGEN REINHARD , BRADBURY JONATHAN , HELLER LISA , BUSABA FADI
IPC: G06F9/455
Abstract: Gemäß einer oder mehreren Ausführungsformen der vorliegenden Erfindung umfasst ein durch einen Computer umgesetztes Verfahren ein Empfangen einer Abfrage für eine Speichermenge im Arbeitsspeicher eines Computersystems, die einer sicheren Schnittstellensteuerung des Computersystems überlassen werden soll. Die sichere Schnittstellensteuerung kann die zu überlassende Speichermenge auf Grundlage einer Mehrzahl von sicheren Entitäten bestimmen, die durch die sichere Schnittstellensteuerung als eine Mehrzahl von vorbestimmten Werten unterstützt werden. Die sichere Schnittstellensteuerung kann eine Antwort auf die Abfrage, die für die Speichermenge indikativ ist, als Antwort auf die Abfrage zurückgeben. Eine Überlassung von zu sicherndem Speicher zur Verwendung durch die sichere Schnittstellensteuerung kann auf Grundlage der Antwort auf die Abfrage empfangen werden.
-
公开(公告)号:CA3132781A1
公开(公告)日:2020-09-17
申请号:CA3132781
申请日:2020-03-02
Applicant: IBM
Inventor: BRADBURY JONATHAN , HELLER LISA CRANTON , BACHER UTZ , BUSABA FADI
Abstract: An computer-implemented method according to examples includes receiving, by a secure interface control of a computing system, a request by a requestor to access a page in a memory of the computing system. The method further includes, responsive to determining that the requestor is a non-secure requestor and responsive to a secure- storage bit being set, prohibiting access to the page without performing an authorization check. The method further includes, responsive to determining that the requestor is a secure requestor, performing the authorization check.
-
公开(公告)号:GB2530225A
公开(公告)日:2016-03-16
申请号:GB201600172
申请日:2014-03-14
Applicant: IBM
Inventor: BACHER UTZ , BUENDGEN REINHARD , LUECK EINAR
Abstract: The invention relates to a method for processing a guest event in a hypervisor- controlled system (10), comprising the steps: (i) the guest event triggering a first firmware service being specific for the guest event in a firmware (70), the guest event being associated with a guest (20) and with a guest state (52) and a guest memory (22) encrypted with a guest key (24); (ii) the firmware (70) processing information associated with the guest event, comprising information of the guest state (52) and the guest memory (22), and presenting only a subset of the information of the guest state (52) and the guest memory (22) in decrypted form to a hypervisor (30), wherein the subset of the information is selected to suffice for the hypervisor (30) to process the guest event; (iii) the firmware (70) retaining a part of the information of the guest state (52) and the guest memory (22) that is not being sent to the hypervisor (30); (iv) the hypervisor (30) processing the guest event based on the received subset of the information of the guest state (52) and the guest memory (22) and sending a process result to the firmware (70) triggering a second firmware service being specific for the guest event; (v) the firmware (70) processing the received process result together with the part of the information of the guest state (52) and the guest memory (22) that was not sent to the hypervisor (30), generating a state and/or memory modification; (vi) the firmware (70) performing the state and/or memory modification associated with the guest event at the guest memory (22) in encrypted form.
-
公开(公告)号:AU2020238889B2
公开(公告)日:2022-12-01
申请号:AU2020238889
申请日:2020-03-02
Applicant: IBM
Inventor: BRADBURY JONATHAN , HELLER LISA CRANTON , BACHER UTZ , BUSABA FADI
Abstract: An computer-implemented method according to examples includes receiving, by a secure interface control of a computing system, a request by a requestor to access a page in a memory of the computing system. The method further includes, responsive to determining that the requestor is a non-secure requestor and responsive to a secure- storage bit being set, prohibiting access to the page without performing an authorization check. The method further includes, responsive to determining that the requestor is a secure requestor, performing the authorization check.
-
Patent Agency Ranking
公开(公告)号:DE112020000694T5
公开(公告)日:2021-10-21
申请号:DE112020000694
申请日:2020-01-31
Applicant: IBM
Inventor: BACHER UTZ , BUENDGEN REINHARD , MORJAN PETER , FRANK JANOSCH
Abstract: Ein durch einen Computer ausgeführtes Verfahren zum Erzeugen eines sicheren Software-Containers kann bereitgestellt werden. Das Verfahren umfasst das Bereitstellen eines ersten mehrschichtigen Software-Container-Images, das Umsetzen von allen Dateien, mit Ausnahme von entsprechenden Metadaten, einer jeden Schicht des ersten mehrschichtigen Software-Container-Images in einen Datenträger, wobei der Datenträger einen Satz von Blöcken aufweist, wobei jede Schicht einen inkrementellen Unterschied zu einer nächstniedrigeren Schicht aufweist, das Verschlüsseln eines jeden Blocks des Satzes von Blöcken von einem Teil der Schichten und das Speichern eines jeden verschlüsselten Satzes der Blöcke als eine Schicht eines verschlüsselten Container-Images zusammen mit unverschlüsselten Metadaten, um eine Reihenfolge des Satzes von Blöcken wiederherzustellen, die gleich einer Reihenfolge des ersten mehrschichtigen Software-Container-Images ist, so dass ein sicherer verschlüsselter Software-Container erzeugt wird.
-
公开(公告)号:AU2020238889A1
公开(公告)日:2021-06-17
申请号:AU2020238889
申请日:2020-03-02
Applicant: IBM
Inventor: BRADBURY JONATHAN , HELLER LISA CRANTON , BACHER UTZ , BUSABA FADI
Abstract: An computer-implemented method according to examples includes receiving, by a secure interface control of a computing system, a request by a requestor to access a page in a memory of the computing system. The method further includes, responsive to determining that the requestor is a non-secure requestor and responsive to a secure- storage bit being set, prohibiting access to the page without performing an authorization check. The method further includes, responsive to determining that the requestor is a secure requestor, performing the authorization check.
-
公开(公告)号:CA2753747A1
公开(公告)日:2012-06-14
申请号:CA2753747
申请日:2011-09-30
Applicant: IBM
Inventor: BACHER UTZ , LUECK EINAR , MIHAJLOVSKI VIKTOR
IPC: H04L12/24
Abstract: The invention relates to a method for operating a node cluster system with a plurality of nodes in a network, wherein the cluster system (100) appears to be a single node with only one specific network address (IP, MAC) to its network environment. The method comprising the steps: providing a shared socket database for linking network connection port identifications of a common set of network connection port identifications to the individual nodes, assigning a master function to one of the nodes, sending incoming traffic to all nodes of the cluster system, wherein each node verifies its responsibility for this traffic individually, exclusive assignment of a network connection port to the responsible node for the duration of a connection of the corresponding application process by means of the corresponding network connection port identification and the link established by the shared socket database, and processing of the traffic by the responsible node or otherwise by the node having the master function. Further, the invention relates to a corresponding computer-readable medium, to a corresponding computer program product and to a corresponding node cluster system.
-
公开(公告)号:DE112015004555T5
公开(公告)日:2017-06-29
申请号:DE112015004555
申请日:2015-10-20
Applicant: IBM
Inventor: BACHER UTZ , BUENDGEN REINHARD THEODOR
IPC: G06F9/44
Abstract: Die Erfindung betrifft ein Verfahren zur Verarbeitung eines Gast-Ereignisses in einem von einem Hypervisor gesteuerten System (10), das die Schritte aufweist: (i) Durch das Gast-Ereignis Auslösen eines ersten Firmware-Dienstes, der für das Gast-Ereignis spezifisch ist, in einer Firmware (70), wobei das Gast-Ereignis zu einem Gast (20) und zu einem Gast-Zustand (52) und einem geschützten Gast-Hauptspeicher (22), auf den nur der Gast (20) und die Firmware (70) zugreifen können, sowie einem Gast-Schlüssel (24) gehört; (ii) durch die Firmware (70) Verarbeiten von zu dem Gast-Ereignis gehörenden Informationen, die Informationen über den Gast-Zustand (52) und den geschützten Gast-Hauptspeicher (22) aufweisen, und Übergeben von nur einer Teilmenge der Informationen über den Gast-Zustand (52) und den geschützten Gast-Hauptspeicher (22) an einen Hypervisor (30), wobei die Teilmenge der Informationen so ausgewählt wird, dass sie dem Hypervisor (30) zur Verarbeitung des Gast-Ereignisses genügt; (iii) durch die Firmware (70) Zurückhalten eines Teils der Informationen über den Gast-Zustand (52) und den geschützten Gast-Hauptspeicher (22), welcher nicht an den Hypervisor (30) gesendet wird; (iv) Verarbeiten des Gast-Ereignisses durch den Hypervisor (30) auf der Grundlage der empfangenen Teilmenge der Informationen über den Gast-Zustand (52) und den geschützten Gast-Hauptspeicher (22) und Senden eines Prozessergebnisses an die Firmware (70), die einen zweiten Firmware-Dienst auslöst, der für das Gast-Ereignis spezifisch ist; (v) durch die Firmware (70) Verarbeiten des empfangenen Prozessergebnisses zusammen mit dem Teil der Informationen über den Gast-Zustand (52) und den geschützten Gast-Hauptspeicher (22), welcher nicht an den Hypervisor (30) gesendet wurde, was eine Zustands- und/oder eine Hauptspeicheränderung erzeugt; (vi) Durchführen der Zustands- und/oder der Hauptspeicheränderung, die zu dem Gast-Ereignis gehört, an dem geschützten Gast-Hauptspeicher (22) durch die Firmware (70).
-
公开(公告)号:DE102016222861A1
公开(公告)日:2017-06-22
申请号:DE102016222861
申请日:2016-11-21
Applicant: IBM
Inventor: BACHER UTZ , BORNTRAEGER CHRISTIAN , BUENDGEN REINHARD , DINGEL DOMINIK
IPC: G06F9/455
Abstract: Ein Verfahren und ein System zum transparenten, sicheren Durchführen von Abrufvorgängen werden bereitgestellt. Das Verfahren und das System beinhalten Implementieren einer virtuellen Maschine (VM) in einer Umgebung, die einen Hypervisor und eine Firmware aufweist. Das Verfahren und das System beinhalten Bereitstellen von Puffern in Reaktion auf das Implementieren der VM und beinhalten Ausführen von VM-Befehlen. Das Verfahren und das System beinhalten Abrufen von VM-Befehlen, die Zugreifen auf Befehlsdaten und Kopieren des VM-Zustands in einen Schatten-VM-Zustand erfordern. Des Weiteren werden die Befehlsdaten in Puffer kopiert, und der abgerufenen VM-Befehl wird unter Verwendung des Puffers ausgeführt. Das Verfahren und das System beinhalten außerdem Aktualisieren des VM-Zustand-Schattenpuffers und der VM-Daten in dem VM-Speicher unter Verwendung von Ergebnisdaten in dem Puffer in Reaktion auf die Ergebnisse des Ausführens des abgerufenen VM-Befehls. Des Weiteren wird das Ausführen der VM-Befehle auf der Grundlage eines Zustands wiederaufgenommen, der in dem VM-Zustand-Schattenpuffer gespeichert ist.
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.018 seconds)
