-
公开(公告)号:CN119631074A
公开(公告)日:2025-03-14
申请号:CN202380057216.9
申请日:2023-07-20
Applicant: 微软技术许可有限责任公司
Abstract: 针对虚拟机的静态数据保护包括在客户分区的第一特权上下文内操作数据保护组件,以及在客户分区的第二特权上下文内操作客户操作系统(OS)。数据保护组件参与客户OS的数据输入/输出操作。基于客户OS的数据输出操作,数据保护组件对与数据输出操作相关联的第一数据应用第一数据保护操作;以及发起将第一数据保护操作的第一结果存储到数据存储设备。基于客户OS的数据输入操作,数据保护组件对与数据输入操作相关联的第二数据应用第二数据保护操作;以及基于对第二数据应用第二数据保护操作,向客户OS传达数据输入操作的结果。
-
公开(公告)号:CN119234211A
公开(公告)日:2024-12-31
申请号:CN202380041834.4
申请日:2023-04-19
Applicant: 微软技术许可有限责任公司
IPC: G06F9/455
Abstract: 将虚拟机(VM)访客的资源与主机操作系统隔离。计算机系统接收来自与隔离的VM相对应的访客分区的接受请求。接受请求标识被映射到访客分区的访客物理地址空间中的访客存储器页,以及存储器页可见性类别。计算机系统确定被映射到访客存储器页的物理存储器页是否满足存储器页可见性类别。计算机系统基于物理存储器页满足存储器页可见性类别来将针对访客存储器页的页接受指示从未接受状态设置为被接受状态。
-
公开(公告)号:CN119923630A
公开(公告)日:2025-05-02
申请号:CN202380068449.9
申请日:2023-08-31
Applicant: 微软技术许可有限责任公司
IPC: G06F9/455
Abstract: 向未启发的访客操作系统(OS)透明地提供虚拟化特征。与虚拟机相对应的访客分区被划分为第一访客特权上下文和第二访客特权上下文。兼容性组件在第一访客特权上下文内执行,而访客OS在第二访客特权上下文内执行。兼容性组件被配置为拦截与访客操作OS相关联的输入/输出(I/O)操作。基于兼容性组件拦截与访客OS相关联的I/O操作,兼容性组件使用访客OS不支持的虚拟化特征来处理I/O操作。虚拟化特征的示例包括对硬件设备的加速访问和虚拟机访客机密性。
-
Patent Agency Ranking
公开(公告)号:CN109196505B
公开(公告)日:2022-04-19
申请号:CN201780033267.2
申请日:2017-05-25
Applicant: 微软技术许可有限责任公司
Inventor: N·N·帕伊 , C·G·杰弗里斯 , G·维斯瓦纳坦 , B·M·舒尔茨 , F·J·史密斯 , L·鲁瑟 , M·B·埃伯索尔 , G·迪亚兹奎利亚尔 , I·D·帕绍夫 , P·R·加德奥苏尔 , H·R·普拉帕卡 , V·M·拉奥
IPC: G06F21/53
Abstract: 在计算设备上运行的主机操作系统监测所述计算设备的网络通信,以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较,以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时,所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器,所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。
-
公开(公告)号:CN110168504A
公开(公告)日:2019-08-23
申请号:CN201780082640.3
申请日:2017-12-28
Applicant: 微软技术许可有限责任公司
IPC: G06F9/54
Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中,服务分发和管理模型被实现,其中系统服务和应用无缝地跨多个容器被分发,该多个容器各自实现不同的运行时环境。在一个或多个实现中,用于在计算设备的主机操作系统中分发对服务的访问的系统包括:主机操作系统,该主机操作系统被配置为实现主机运行时环境;以及,一个或多个服务,该一个或多个服务由主机操作系统实现。该系统还包括:服务控制管理器,该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。
-
公开(公告)号:CN119816814A
公开(公告)日:2025-04-11
申请号:CN202380062449.8
申请日:2023-08-24
Applicant: 微软技术许可有限责任公司
Inventor: J·蔺 , J·S·沃尔格穆特 , M·B·埃伯索尔 , A·班达里 , S·A·韦斯特 , E·C·克莱门斯 , M·H·凯利 , 崔得暄 , A·马伊内蒂 , S·E·斯蒂芬森 , C·C·佩雷斯-瓦加斯 , A·J·D·德利戈纳特-拉沃德 , K·瓦斯瓦尼 , A·D·格雷斯特 , S·M·普罗诺沃斯特 , D·A·赫普金
IPC: G06F9/455
Abstract: 用于将物理设备直接分配给机密虚拟机(VM)的方法、系统、和计算机程序产品。在访客分区的第一访客特权上下文处,标识与主机计算机系统相关联的物理设备到访客分区的直接分配。访客分区包括第一访客特权上下文和第二访客特权上下文,第二访客特权上下文被限制访问与第一访客特权上下文相关联的存储器。访客分区与机密VM相对应,使得主机操作系统无法访问与访客分区相关联的存储器区域。基于策略确定允许将物理设备直接分配给访客分区。允许物理设备和第二访客特权上下文之间的通信,诸如通过在虚拟总线上暴露物理设备和/或转发中断。
-
公开(公告)号:CN110168504B
公开(公告)日:2023-06-30
申请号:CN201780082640.3
申请日:2017-12-28
Applicant: 微软技术许可有限责任公司
IPC: G06F9/54
Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中,服务分发和管理模型被实现,其中系统服务和应用无缝地跨多个容器被分发,该多个容器各自实现不同的运行时环境。在一个或多个实现中,用于在计算设备的主机操作系统中分发对服务的访问的系统包括:主机操作系统,该主机操作系统被配置为实现主机运行时环境;以及,一个或多个服务,该一个或多个服务由主机操作系统实现。该系统还包括:服务控制管理器,该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。
-
公开(公告)号:CN109196505A
公开(公告)日:2019-01-11
申请号:CN201780033267.2
申请日:2017-05-25
Applicant: 微软技术许可有限责任公司
Inventor: N·N·帕伊 , C·G·杰弗里斯 , G·维斯瓦纳坦 , B·M·舒尔茨 , F·J·史密斯 , L·鲁瑟 , M·B·埃伯索尔 , G·迪亚兹奎利亚尔 , I·D·帕绍夫 , P·R·加德奥苏尔 , H·R·普拉帕卡 , V·M·拉奥
IPC: G06F21/53
Abstract: 在计算设备上运行的主机操作系统监测所述计算设备的网络通信,以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较,以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时,所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器,所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.033 seconds)
