发明领域

本发明通常涉及虚拟机，尤其是涉及提供对虚拟机监控器的处理 器支持。

发明背景技术

传统的虚拟机监控器(VMM)通常运行在一台计算机上，并且向其 它软件给出一个或多个虚拟机抽象。每个虚拟机可以起到一个独立平 台的作用，运行它自己的“客户操作系统”(即，由VMM支持的操作 系统)。客户操作系统期待好象它正在在一台专用计算机而不是虚拟 机上运行那样进行操作。即，客户操作系统希望控制各种计算机操作， 并且在这些操作期间可以访问硬件资源。硬件资源可以包含处理器常 驻资源(例如，控制寄存器)和驻留在存储器中的资源(例如，描述 符表)。然而，在虚拟机环境中，VMM应当能够具有这些资源的最终控 制，以提供虚拟机的正确操作和从虚拟机以及在虚拟机之间提供保 护。为了实现这一点，VMM通常截取和判优由客户操作系统对硬件资源 进行的所有访问。

VMMs的当前实现可以基于用于控制由客户操作系统对硬件资源的 访问的软件技术。然而，这些软件技术可能缺乏阻止客户软件访问在 处理器的控制寄存器和存储器中的某些字段的能力。例如，不能阻止 客户操作系统访问在IA-32微处理器的代码段寄存器中的请求者特 权级别(RPL)字段。此外现有的软件技术通常遇到性能问题的困扰。 因此，需要有一种用于支持VMM操作的替换机制。

附图简要说明

本发明在附图中通过举例而不是限制进行了说明，在附图中相似 的附图标记数字涉及相似的单元，并且其中：

图1说明了虚拟机环境的一个实施例；

图2说明了基于取消客户特权的虚拟机监控器的操作；

图3是依据本发明一个实施例、用于向虚拟机监控器提供处理器 支持的系统的方框图；

图4是依据本发明一个实施例、用于向虚拟机监控器提供处理器 支持的方法的流程图；

图5是依据本发明一个实施例、用于执行转换出V32模式的方法 的流程图；

图6是依据本发明一个实施例、用于生成虚拟化陷阱的方法的流 程图；

图7是依据本发明一个实施例、用于维持一个重定向映射的方法 的流程图；

图8是依据本发明一个实施例、用于控制中断屏蔽的方法的流程 图；以及

图9是处理系统的一个实施例的方框图。

实施例描述

描述了一种用于向虚拟机监控器提供处理器支持的方法和装置。 在下面的描述中，为了说明起见，阐述了大量细节以便提供对本发明 的一个彻底了解。然而，显然对本领域普通技术人员来说没有这些特 定的细节本发明也能够被实现。

依据在计算机存储器内在数据位上的操作的算法和符号表示给出 随后的某些部分详细说明。这些算法描述和表示是由数据处理领域内 技术人员使用的、以最有效地向该领域其它技术人员传送它们的工作 实质的手段。在此，并且通常，算法被认为是导致一个期望结果的自 相容的一系列步骤。这些步骤是要求物理量的物理操作的那些步骤。 通常，尽管不一定，这些量采取能够被存储、传送、组合、比较、及 其它处理的电或者磁信号的形式。有时，主要由于公共使用的原因， 已经证明把这些信号称为比特、值、单元、符号、字符、术语、数字 等是方便的。

然而，应当记住：所有这些和类似的术语与适当的物理量有关， 并且仅仅是用于这些量的方便的标记。除非特别地说明，否则如从以 下讨论中明显看出的那样，应当理解，在整个本发明中，利用术语诸 如“处理”或者“计算”或者“确定”或者“显示”等可以涉及一个 计算机系统或者类似电子计算设备的动作和处理过程，其把在计算机 系统的寄存器和存储器内被表示为物理(电子)量的数据处理和变换 成为类似地在计算机系统存储器或者寄存器或者其它这种信息存储 器、传输或者显示设备内被表示为物理量的其它数据。

本发明在此还涉及用于执行这些操作的装置。这个装置可以为需 要的目的而被特别地构造，或者它可以包含一个由保存在计算机中的 计算机程序有选择地激活或者重新配置的通用计算机。这种计算机程 序可以被保存在计算机可读存储介质中，该计算机可读存储介质诸如 但是不局限于：包含软盘、光盘、CD-ROMs、和磁光盘的任何类型的 磁盘、只读存储器(ROMs)、随机存取存储器(RAMs)、EPROMs、EEPROMs、 磁或者光卡、或者适于存储电子指令的任何类型的介质，而且上述每 个都连接到一条计算机系统总线。指令是可使用一个或多个处理设备 (例如，处理器、中央处理器等)执行的。

在此给出的算法和显示不是固有地与任何特定计算机或者其它装 置有关。可以使用具有依据在此的示教的程序的各种通用机，或者可 以证明构造更多专用装置以执行所需要的方法步骤是方便的。从以下 的描述中将会呈现用于各种这些机器的所需要的结构。此外，本发明 不是参照任何特定程序设计语言进行描述的。应当理解，可以使用各 种程序设计语言来实现在此描述的本发明的示教。

在以下实施例的详细说明中，参考举例显示了其中可以实现本发 明的特定实施例的附图。在这些附图中，在几个视图当中相似的数字 基本上地描述了类似的元件。足够详细地描述了这些实施例以使本领 域技术人员能实现本发明。可以使用其它实施例，并且可以进行结构 上的、逻辑的、和电学的变化，而没有背离本发明的范围。此外，应 当理解，本发明的各个实施例尽管是不同的但未必是互相排斥的。例 如，在一个实施例中描述的一个特定特征、结构、或者特性可以被包 含在其它实施例中。因此，下列详细说明不是限制的含义，而且本发 明的范围仅仅由附加权利要求、以及这种权利要求被授权的整个等效 范围来定义。

本发明中的方法和装置为虚拟机监控器(VMM)提供处理器支持。 图1说明了其中本发明可以实现的虚拟机环境100的一个实施例。在 这个实施例中，裸平台硬件116包含一个计算平台，其能够例如执行 标准的操作系统(OS)或者虚拟机监控器(VMM)、诸如VMM 112。通 常以软件实现的VMM可以向高层软件输出一个裸机接口、诸如模拟器。 这种高层软件可以包含标准或者实时OS，尽管本发明在这方面在范围 上不受限制，并且做为选择，例如，VMM可以在另一个VMM内或者在另 一个VMM上面执行。VMMs和它们的典型特征和功能对于本领域技术人 员来说是公知的，并且可以例如以软件、固件或者各种技术的组合来 实现。

如上所述，VMM向其它软件(即，“客户”软件)给出一个或多个 虚拟机(VMs)抽象。图1显示了两个VMs 102和114。每个VM的客 户软件包含一个客户OS，诸如客户OS 104或者106，以及各种客户软 件应用程序108-110。每一个客户OSs 104和106希望控制对在正 在其上运行客户OS 104或者106的硬件平台内的物理资源(例如，处 理器寄存器、存储器和存储器映射的I/O设备)的访问以及执行其它 功能。然而，在虚拟机环境中，VMM 112应当具有在物理资源上的最 终控制，以提供VMs 102和112的正确操作和从VMs 102和114以及 在VMs 102和114之间提供保护。VMM 112通过截取客户OSs 104和 106对计算机的物理资源的所有访问来实现这个目的。可以使用各种技 术以允许VMM 112截取上述访问。这种技术中的一种是取消客户特权 技术，它迫使所有的客户软件以不允许软件访问某些硬件资源的硬件 特权级别运行。因此，每当客户OS 104或者106试图访问这些硬件资 源中的任何一个时，它“设置陷阱”到VMM 112，即，如果由客户OS 启动的一个操作涉及访问这种硬件资源则VMM 112接收在这个由其启 动的操作上的控制。

图2说明了支持取消客户特权的VMM的操作的现有技术实施例。 如上所述，取消客户特权迫使客户OS在较少的执行特许方式下执行。 就IA-32微处理器来说，基于页面的保护的特性是使所有的客户软 件以最小特权级别(即环3)运行。即，客户OS 206和客户应用程序 204以同样的特权级别运行。因此，客户OS 206不能从客户应用程序 206中保护它自己，由此可能损害客户OS 206的完整性。这个问题被 称为环压缩。

取消客户特权还可能导致地址空间压缩问题。如上所述，客户软 件访问硬件资源的某些尝试导致转移控制到VMM 220的陷阱。为了允 许这个控制转移，一部分VMM代码和/或数据结构在体系结构上可以被 要求驻留在与客户OS 206相同的虚拟地址空间中。例如，IA-32指 令集体系结构(ISA)可以要求中断描述符表(IDT)212、全局描述符 表(GDT)210和陷阱处理例程驻留在与客户OS 206相同的虚拟空间 中。必须保护驻留在虚拟空间202中的VMM代码和数据结构220不能 由客户软件(例如，通过在环0运行)进行访问。因此，客户OS 206 没有如客户OS 206期望的那样控制整个地址空间202。这导致地址空 间压缩问题。

使用取消客户特权的VMMs的另一个限制适合于其中处理器未能阻 止客户软件读取有特权的硬件资源的某些情况。例如，IA-32微处 理器允许客户OS 206执行PUSH CS指令，其把一个代码段寄存器存储 到存储器中。这个寄存器字段中的一个字段存储有关当前特权级别的 信息。因此，客户OS 206能够通过从存储器中读取当前特权级别的值， 知道它的特权级别是3，而不是如客户OS 206期望的那样是0。因此， 客户OS 206可能暴露出这个事实：它正在一个虚拟机上运行，并且客 户OS 206的完整性可以被损害。

类似地，在某些情况下，处理器没有对客户软件的尝试设置陷阱 以修改有特权的软件资源。例如，IA-32处理器允许客户OS 206发 出试图加载EFLAGS的POPF指令，而不是生成一个陷阱，而且简单地 忽略客户OS 206的所有或者部分的这种尝试，这是因为客户OS 206 用不够的特权执行这些指令。因此，客户OS 206相信相应的一个EFLAGS 字段已经被修改了，但是VMM 220不知道那个情况并且不能适当地模 拟这个修改。因此，客户OS 206可能暴露出这个事实：它正在一个虚 拟机上运行，并且客户OS 206的完整性可以被损害。

使用取消客户特权的VM监控器的另一个限制是由过度设置陷阱所 引起的。由于需要保护不被客户软件访问的硬件资源单元的数目是有 效的而且这种访问可能是频繁的，所以陷阱经常发生。例如，IA-32 微处理器支持CLI指令。发布CLI指令以修改中断标志，该中断标志 是有特权的硬件资源的一个单元，并且因此不能由无特权的软件访 问。客户OS 206通常在它的操作期间发布这些指令，由此导致频繁地 到VMM 220的陷阱。频繁地设置陷阱反面地影响了系统性能，并且减 少了VMM 220的实用性。

本发明通过为VMM提供处理器支持解决了上述问题和各种其它限 制。图3是依据本发明一个实施例、用于向虚拟机监控器提供处理器 支持的系统的方框图。

参见图3，所有的客户软件在在此被称为虚拟32位模式(V32模 式)的处理器模式下运行。V32模式允许客户软件以它的预定特权级别 运行。例如，就IA-32 ISA来说，客户OS 308以最高特权级别(即， 环0)运行，而客户应用程序306以最低特权级别(即，环3)运行。 V32模式通过阻止客户软件执行可能导致它访问某些有特权的硬件资 源的操作来限制客户软件的操作。当客户软件试图执行这样一个操作 时退出V32模式。

VMM320在V32模式外运行。当发生转换出V32模式时，VMM320 接收在由客户OS 308或者客户应用程序306启动的操作上的控制。VMM 320然后执行这个操作，并且通过进入V32模式把控制转移回客户软 件，借此模拟客户软件期望的功能。

在一个实施例中，通过在处理器的一个控制寄存器(例如CRO)中 保存一个标志以指示处理器是否在V32模式下来实现V32模式。在另 一个实施例中，这个标志(在此被称为EFLAGS.V32)被保存在EFLAGS 的上半部分中的一个保留位中。EFLAGS.V32标志通过从V32模式中转 换出或者转换成为V32模式而被修改。

在一个实施例中，使用保留的特征位中的一位报告处理器支持V32 模式的性能，其中该保留的特征位当在EAX中用值1执行CPUID指令 时在EDX中被返回。应当注意到，能够使用其它各种机制来实现V32 模式和报告处理器支持V32模式的性能，而不影响通用性。

在一个实施例中，某些例外和中断导致转换出V32模式。这些例 外和中断包含“虚拟化陷阱”。虚拟化陷阱是当在V32模式下运行的 客户软件试图执行一个可能导致它访问某些有特权的硬件资源的操作 时生成的。在一个实施例中，当发生转换出V32模式时，客户地址空 间304被自动地变换成VMM地址空间302。此外，由客户软件使用的 处理器状态被保存在暂时寄存器中，并且加载由VMM 320需要的处理 器状态。

在一个实施例中，当发生到V32模式的转换时，在转换出V32模 式(即到VMM 320)时所保存的处理器状态被自动地恢复，VMM地址空 间302被变换成客户地址空间304，并且把控制返回给客户OS 308。

在一个实施例中，当客户软件在V32模式下运行时，由客户OS 308 使用客户IDT(即，驻留在客户地址空间304中的IDT)处理软件中断 (例如，由执行BOUND、INT或者INTO指令所引起的中断)。包含虚 拟化陷阱的其它所有中断和例外导致转换出V32模式，其导致客户地 址空间304变换到VMM地址空间302。然后使用IDT 316以指向处理 相应的一个例外或者中断的代码。

在一个实施例中，保存一个新的中断标志(即，虚拟机中断标志) 用于由客户软件访问。每当客户软件试图访问中断标志(IF)时，作 为替代它将访问虚拟机中断标志(VMIF)。在一个实施例中，除了当 客户OS 308刚好设置VMIF为1(例如，通过STI指令)和VMM 320 希望向客户OS 308传送一个待处理中断时以外，客户软件访问VMIF (例如，使用CLI指令)的尝试不会导致转换出V32模式。在此被称 为“虚拟待处理中断”的这种待处理中断生成虚拟化陷阱，其允许VMM 320在客户OS 308发信号指示它准备好处理这样一个中断时向客户软 件传送一个待处理中断。在一个实施例中，在EFLAGS寄存器的上半部 分中的保留位中的一个被用来保存一个指示客户软件是否具有一个待 处理虚拟中断的标志。

V32模式的实现允许解决如上所述的、取消客户特权导致的所有问 题。特别地，由于客户软件在V32模式下以它预定的特权级别运行， 所以消除了环压缩的问题。此外，由于虚拟化陷阱自动导致到VMM地 址空间302的切换，所以地址空间压缩不再是一个问题，并且因此既 不要求在客户地址空间304中驻留控制这种传送的表格，也不要求在 客户地址空间304中驻留处理相应的一个虚拟化陷阱的代码。

此外，由于V32模式允许客户软件以它的预定特权级别运行，所 以需要被保护的硬件资源不再包含控制特权级别的硬件资源的那些单 元。例如，由于存储有关当前特权级别的信息的代码段寄存器中的字 段现在存储由客户OS 308预定的特权级别，所以以上所述的PUSH CS 指令不能再向客户OS 308揭示它在一台虚拟机上运行。类似地，由于 客户OS 206用足够的特权执行这些指令，所以试图加载EFLAGS的POPF 指令在由客户OS 308执行时不再被忽略。

因此，需要被保护的硬件资源的单元数目减少了。如果它们中的 任何一个允许客户软件的未设置陷阱的读或者写访问，则它们被特别 地设计以当在V32模式下执行时导致陷阱。因此，消除了由未设置陷 阱的读和写访问所引起的问题。此外，由于V32模式的实现减少了需 要被保护的硬件资源的单元数目，所以当客户软件试图访问这些单元 时发生的陷阱数目也减少了。此外通过提供用于消除由最常使用的指 令所引起的陷阱的机制，减少了陷阱的频率。例如，除了当客户软件 具有一个待处理的虚拟中断时以外，STI指令不再导致陷阱。

图4是依据本发明一个实施例、用于向虚拟机监控器提供处理器 支持的方法400的流程图。在处理块404，在处理器模式(即V32模 式)下执行客户软件，该处理器模式允许客户软件以由客户软件预定 的特权级别进行操作。即，客户OS可以以管理员特权级别进行操作， 而客户应用程序可以以用户特权级别进行操作。

在处理块406，标识客户软件执行受V32模式限制的一个操作的尝 试。响应于这个尝试，退出V32模式以转移在由客户软件启动的操作 上的控制到在V32模式外运行的VMM(处理器块408)。在一个实施例 中，VMM设定什么操作应当导致转换出V32模式，如以下连同图7更详 细描述的那样。在一个实施例中，这种操作生成导致转换出V32模式 的虚拟化陷阱。做为选择，能够使用在本领域已知的其它任何机制以 导致转换出V32模式。以下连同图5更详细地描述执行转换出V32模 式的一个实施例。

此外，VMM对由客户软件预定的操作作出响应(处理块410)。然 后，重新进入V32模式以把在这个操作上的控制转移回客户软件(处 理块412)，并且方法400返回给处理块404。在一个实施例中，当发 生到V32模式中的转换时，由客户软件期望的处理器状态被自动地恢 复，并且VMM地址空间被变换到客户地址空间。

图5是依据本发明一个实施例、用于执行转换出V32模式的方法 500的流程图。方法500随保存由客户软件使用的处理器状态开始(处 理块504)。在一个实施例中，保存的处理器状态被存储在处理器的暂 时寄存器中。在处理块506，由VMM需要的处理器状态被加载到处理器 寄存器中。在一个实施例中，加载处理器状态影响客户地址空间到VMM 地址空间的变换(例如，通过加载控制寄存器CR3来加载处理器状态)。 在一个替换实施例中，加载处理器状态不会导致在地址空间中的变 换。在这样一个实施例中，在处理块508，执行地址空间切换以从客户 地址空间转移到VMM地址空间。因此，当发生一个导致转换的中断或 者例外时，驻留在VMM地址空间中的IDT被自动地用来指向用于处理 这个中断或者例外的VMM常驻代码。

图6是依据本发明一个实施例、用于生成虚拟化陷阱的方法600 的流程图。方法600随标识客户软件执行一个可能受V32模式限制的 操作的尝试开始(处理块604)。在判定框606，就客户软件的尝试是 否可能成功进行确定。如果确定是肯定的，则生成一个虚拟化陷阱(处 理块608)。或者，不生成虚拟化陷阱，并且客户软件继续进行该操作 (处理块610)。例如，依据IA-32 ISA，RDMSR指令仅仅能够由以 管理员特权运行的软件执行。因此，如果用管理员特权运行的客户软 件OS执行这条指令，则它的尝试可能是成功的。如果用用户特权运行 的一个客户应用程序执行这条指令，则它的尝试将不会成功，并且将 发生一个一般保护故障。因此，客户OS执行RDMSR指令的尝试将导致 一个虚拟化陷阱，但是客户应用程序的尝试将由客户OS进行处理。

在一个实施例中，虚拟化陷阱将由客户OS访问处理器的控制寄存 器(例如CR0-CR4)的可能成功的尝试引起。例如，就IA-32处 理器来说，将响应于客户软件执行MOV CR(除存储CR2的尝试之外， 其不需要导致虚拟化陷阱)、CLTS、LMSW或者SMSW指令、或者任务 切换的尝试而生成虚拟化陷阱。如果客户软件具有一个待处理的虚拟 中断，则虚拟化陷阱也可能由客户软件设置一个中断标志IF(例如， 经由STI、POPF或者IRET指令)的可能成功的尝试所引起。就IA-32 ISA来说，执行这种指令、例如HLT、IN、INS/INSB/INSW/INSD、 INVD、OUT、OUTS/OUTSB/OUTSW/OUTSD、RDMSR、和WRMSR的成功 尝试将导致虚拟化陷阱。这些虚拟化陷阱将阻止客户软件异常中止处 理器和直接访问I/O端口、高速缓存或者特定模式的寄存器。此外， 虚拟化陷阱可能由以下尝试所引起：执行CPUID指令以允许VMM给出 由VMM选择的处理器抽象特征的尝试、执行INVLPG指令以允许VMM适 当地虚拟化地址转换的尝试、以及执行由客户软件使用的IRET指令(如 果IRET被用来转换到V32模式中)以实现一个VMM以便允许递归嵌套 的VMMs的尝试。

图7是依据本发明一个实施例，用于维持一个重定向映射的方法 700的流程图。依据这个实施例，VMM保存一个重定向映射以设定哪些 中断和例外应当导致一次虚拟化陷阱(处理块704)。在处理块706， 标识一个中断或者例外的发生。然后参考该重定向映射，以在重定向 位图中找到与这个中断或者例外有关的一位(处理块708)。

在判定框710，就这个中断是否被允许由客户OS处理进行确定。 如果确定是肯定的，则该中断或者例外被传送到V32模式，并且由客 户OS进行处理(处理块714)。或者，生成一个虚拟化陷阱，导致转 换出V32模式(处理块712)。

图8是依据本发明一个实施例，用于控制中断屏蔽的方法800的 流程图。可以使用各种实施例来控制中断的屏蔽。在一个实施例中， 当客户软件正在执行时，不屏蔽所有的中断。在这个实施例中，客户 软件被允许对一个中断标志(例如，就IA-32微处理器来说，这个 标志被标识为EFLAGS.IF)进行处理，但是相对于中断的屏蔽来说这 个处理将被忽略。在另一个实施例中，中断的屏蔽取决于该中断标志。 在这个实施例中，不允许客户软件处理该中断标志。特别地，可以通 过为由客户软件进行的修改提供一个遮蔽中断标志(例如 EFLAGS.VMIF)、通过响应于客户软件的这样一个尝试生成一个虚拟化 陷阱、或者通过使用在本领域已知的其它任何技术，来阻止客户软件 访问该中断标志。

方法800随标识客户软件修改一个可能控制中断屏蔽的中断标志 的尝试开始(处理块804)。在判定框806，就中断标志是否控制中断 的屏蔽进行确定。如果确定是否定的，即没有屏蔽所有的中断，则允 许客户软件修改该中断标志(处理块808)。如上所述，这个修改不会 对中断的屏蔽有影响。

否则，如果中断的屏蔽取决于该中断标志，则就是否存在一个遮 蔽中断标志、即客户软件影响中断屏蔽的尝试是否正在影响遮蔽标志 进行确定(判定框810)。如果确定是否定的，即客户软件试图修改实 际的中断标志，则发生一个虚拟化陷阱(处理块812)，导致转换出 V32模式(处理块816)。做为选择，如果实际的中断标志不能由客户 软件进行访问，则允许客户软件修改该遮蔽中断标志(处理块814)。

图9是处理系统的一个实施例的方框图。处理系统900包含处理 器920和存储器930。处理器920能够是能执行软件的任何类型的处 理器，诸如微处理器、数字信号处理器、微控制器等。处理系统900 能够是个人计算机(PC)、大型机、手持设备、便携式计算机、置顶 盒、或者包含软件的其它任何系统。

存储器930能够是硬盘、软盘、随机存取存储器(RAM)、只读存 储器(ROM)、闪速存储器、或者可由处理器920读取的其它任何类型 的机器介质。存储器930能够存储用于执行实现本发明的各种方法实 施例、诸如方法400、500、600、700和800(图4-8)的指令。

应当理解，以上描述是用于说明性的，而不是限制。对本领域技 术人员来说在阅读和理解上述说明书后许多其它实施例将会是显然 的。本发明的范围因此应当参考附加的权利要求、以及这种权利要求 被授权的整个等效范围来确定。