虚拟计算机系统及虚拟计算机系统控制方法

(19)中华人民共和国国家知识产权局IIIIIIIIIIIIIIIIII

(12)发明专利申请

如(10)申请公布号CN102770846A

(43)申请公布日2012.11.07

(21)申请号201180010418.5(51)Int.CI.

G06Fff/48(2Q0&.01)

(22)申请日2011.09.07

G06F『6(2006.01)

(30)优先权数据

G06F/£/"(2006.01)

2010-2844902010.12.21JP

(85)PCT申请进入国家阶段日

2012.08.21

(86)PCT申请的申请数据

PCT/JP2011/0050192011.09.07

(87)PCT申请的公布数据

W02012/086106JA2012.06.28

(71)申请人松下电器产业株式会社

地址日本大阪府

(72)发明人齐藤雅彦广田照人石川广男

(74)专利代理机构永新专利商标代理有限公司

72002

代理人陈萍高迪

权利要求书3页说明书21页附图17页

(54)发明名称

虚拟计算机系统及虚拟计算机系统控制方法

(57)摘要

一种虚拟计算机系统,具备处理器,该处理器

仅具备卜级特权模式和上级特权模式这2个特权

模式,该虚拟计算机系统使得用于保护数字作品

等的安全性功能和确保了系统的可靠性的操作系

统的切换处理功能共存。该虚拟计算机系统具备

第一处理器和第二处理器，以第一处理器的上级

特权模式使管理程序动作。第二处理器的操作系

统的执行由在第一处理器上动作的管理程序和

以第二处理器的下级特权模式动作的程序共同进

行。由此，不需要以第二处理器的上级特权模式执

V行管理程序,所以能够以第二处理器的上级特权

9模式执行用于实现安全性功能的程序。

1

H

CJ(

二

g

CN102770846A权利要求书1/3页

1.一种虚拟计算机系统，其特征在于，具备存储器以及与该存储器连接的第一处理器

及第二处理器，

所述第一处理器和所述第二处理器分别具备下级特权模式和比该下级特权模式更上

级的上级特权模式，

所述存储器具有执行状态保存区域，该执行状态保存区域保存与处理器的执行状态有

关的执行状态信息，

所述虚拟计算机系统具备：

操作系统，在处理器上以所述下级特权模式执行；

管理程序，在所述第一处理器上以所述上级特权模式执行，使所述第一处理器通过执

行状态信息向所述执行状态保存区域的储存及复原来执行操作系统的切换执行控制处理，

使用储存在所述执行状态保存区域中的执行状态信息，向所述第二处理器进行复原通知；

以及

复原程序，在所述第二处理器上以所述下级特权模式执行，使接受了所述复原通知的

所述第二处理器将容纳在所述执行状态保存区域中的执行状态信息复原为所述第二处理

器的执行状态信息。

2.如权利要求1所述的虚拟计算机系统,其特征在于，

所述执行状态保存区域具有：

第一执行状态保存区域，不能从所述第一处理器及所述第二处理器以所述下级特权模

式访问，能够从所述第一-处理器以所述上级特权模式访问；以及

第二执行状态保存区域,能够从所述第二处理器以所述下级特权模式访问；

所述管理程序使用所述第一执行状态保存区域来执行使处理器执行的所述执行状态

信息的储存及复原，在用于使执行停止中的操作系统在所述第二处理器上执行的处理器变

更条件成立的情况下，针对该执行停止中的操作系统,将储存在所述第一执行状态保存区

域中的执行状态信息设定到所述第二执行状态保存区域中，

所述复原程序将容纳在所述第二执行状态保存区域中的执行状态信息复原为所述第

二处理器的执行状态信息。

3.如权利要求2所述的虚拟计算机系统,其特征在于，

所述管理程序包含执行停止部，在所述第一处理器的执行对象命令组中包含下述部分

的情况下，该执行停止部使在所述第一处理器上执行中的操作系统停止，该部分调用需要

在所述第二处理器的所述上级特权模式下执行的处理，

所述处理器变更条件为：通过所述执行停止部，使在所述第一处理器上执行中的操作

系统停止。

4.如权利要求3所述的虚拟计算机系统,其特征在于，

所述操作系统为多个，

所述多个操作系统分别包含待机状态设定部，在下述操作系统停止条件成立的情况

卜,，该待机状态设定部使所述第二处理器将所述第二处理器的执行状态信息储存到所述第

二执行状态保存区域中，然后转移到待机状态,该操作系统停止条件用于使在所述第二处

理器上执行中的自操作系统停止。

5.如权利要求4所述的虚拟计算机系统,其特征在于，

2

CN102770846A权利要求书2/3页

所述虚拟计算机系统还具备中断控制器，

所述多个操作系统分别包含中断通知部，在所述操作系统停止条件成立的情况下，进

而在下述操作系统重启条件成立时，该中断通知部使所述第二处理器经由所述中断控制器

向所述第一处理器通知复制通知中断，该操作系统重启条件用于使自操作系统在所述第一

处理器上执行，

所述管理程序包含设定部，在向所述第一处理器通知了所述复制通知中断的情况下,

该设定部使所述第一处理器将储存在所述第二执行状态保存区域中的执行状态信息设定

到所述第一执行状态保存区域中。

6.如权利要求5所述的虚拟计算机系统,其特征在于，

所述第二执行状态保存区域分别包含与所述多个操作系统分别对应的操作系统对应

执行状态保存区域，

所述管理程序在所述处理器变更条件成立的情况下向所述第二执行状态保存区域设

定执行状态信息，是通过向与操作系统对应的操作系统对应执行状态保存区域设定来进行

的，该操作系统是与成为设定对象的执行状态信息对应的操作系统，

所述待机状态设定部在所述操作系统停止条件成立的情况下向所述第二执行状态保

存区域设定执行状态信息,是通过向与操作系统对应的操作系统对应执行状态保存区域设

定来进行的，该操作系统是与成为设定对象的执行状态信息对应的操作系统，

所述设定部在被通知了所述复制通知中断的情况下向所述第一执行状态保存区域设

定执行状态信息，是通过向储存在与操作系统对应的操作系统对应执行状态保存区域中的

执行状态信息设定来进行的，该操作系统是与成为设定对象的执行状态信息对应的操作系

统。

7.如权利要求5所述的虚拟计算机系统,其特征在于，

所述第二处理器如果在待机状态下被通知了所述复原通知中断，则解除待机状态，并

执行所述复原程序。

8.如权利要求5所述的虚拟计算机系统,其特征在于，

所述存储器具有能够从处理器以所述下级特权模式访问的地址保存区域，

所述管理程序具有地址设定部，在使所述第一处理器将储存在第一执行状态保存区域

中的执行状态信息设定到所述第二执行状态保存区域中的情况下，该地址设定部使所述第

一处理器将所述复原程序的执行开始地址存储到所述地址保存区域中，

所述第二处理器参照设定在所述地址保存区域中的地址，来进行所述复原程序的执

行。

9.如权利要求5所述的虚拟计算机系统,其特征在于，

所述复原程序作为由所述虚拟计算机系统执行的操作系统的一部分安装，

在所述存储器中容纳所述复原程序的区域包含在容纳所述操作系统的区域中。

10.如权利要求1所述的虚拟计算机系统,其特征在于，

保存在所述执行状态区域中的执行状态信息是寄存器值。

11.一种虚拟计算机系统控制方法，对虚拟计算机系统进行控制,其特征在于，

该虚拟计算机系统具备存储器以及与该存储器连接的第一处理器及第二处理器，所述

第一处理器和所述第二处理器分别具备下级特权模式和比该下级特权模式更上级的上级

3

CN102770846A权利要求书3/3页

特权模式，所述存储器具有执行状态保存区域，该执行状态保存区域保存与处理器的执行

状态有关的执行状态信息，

该虚拟计算机系统控制方法包括：

管理程序步骤，在所述第一处理器上以所述上级特权模式，使所述第一处理器通过执

行状态信息向所述执行状态保存区域的储存及复原来执行操作系统的切换执行控制处理，

使用储存在所述执行状态保存区域中的执行状态信息，向所述第二处理器进行复原通知;

以及

复原步骤,在所述第二处理器上以所述下级特权模式，使接受了所述复原通知的所述

第二处理器将容纳在所述执行状态保存区域中的执行状态信息复原为所述第二处理器的

执行状态信息。

4

CN102770846A说明书1/21页

虚拟计算机系统及虚拟计算机系统控制方法

技术领域

[0001]本发明涉及具备多个处理器的虚拟计算机系统，尤其涉及在具有多个特权模式的

多个处理器上的程序的执行控制技术。

背景技术

[0002]以往,作为虚拟计算机系统，已知在处理器上将多个操作系统分时地切换而执行

的虚拟计算机系统。

[0003]在这样的虚拟计算机系统中，包含用于使处理器执行操作系统的切换执行控制处

理的管理程序(hypervisor)。

[0004]为了在确保系统的可靠性的基础上进行以特权模式执行的操作系统的切换执行

控制处理，该管理程序需要以比执行操作系统的特权模式更上级的特权模式来执行。

[0005]例如，在专利文献1所示的虚拟计算机系统中，构成虚拟计算机系统的处理器作

为特权模式而具备管理员(supervisor)模式和比管理员模式更上级的管理程序模式。并

且，操作系统在管理员模式下执行，管理程序在管理程序模式下执行。

[0006]但是，在对应该保密的信息进行处理的虚拟计算机系统中，从安全性保护的观点

出发，希望该应该保密的信息被保护，以使不被除了可信的特定的程序(以下称为“安全程

序”)以外的程序访问。

[0007]在这样的虚拟计算机系统中，除了管理员模式和管理程序模式以外，还需要用于

执行安全程序的特权模式。

[0008]例如，在专利文献2所示的虚拟计算机系统中，构成虚拟计算机系统的处理器具

备比管理程序模式更上级的特权模式、即安全模式。并且，安全程序在该安全模式下执行。

[0009]图16是表示专利文献2中的构成虚拟计算机系统的处理器的动作模式的动作模

式图。

[0010]如该图所示,构成该虚拟计算机的处理器除了用户模式1640以外,还具备3个特

权模式，即管理员模式1630、管理程序模式1620、安全模式1610„并且，应用程序以用户模

式1640执行，操作系统以管理员模式1630执行，管理程序以管理程序模式1620执行，安全

程序以安全模式161()执行。

[0011]在先技术文献

[0012]专利文献

[0013]专利文献1：特开昭50-23146号公报

[0014]专利文献2:特表2004-537786号公报

[0015]发明的概要

[0016]发明所要解决的课题

[0017]但是，除了用户模式以外还具备3个以上特权模式的处理器多为高功能处理器,

与仅具备2个特权模式的处理器相比，通常耗电量较大，价格较高。

5

CN102770846A说明书2/21页

发明内容

[0018]在此，本发明是鉴于以上问题而做出的，其目的在于，提供一种虚拟计算机系统,

即使构成的处理器仅具备2个特权模式,也能够使确保了系统的可靠性的操作系统的切换

处理功能和利用安全程序的安全性保护功能共存。

[0019]解决课题所采用的手段

[0020]为了解决上述课题，本发明的虚拟计算机系统具备存储器和与该存储器连接的笫

一处理器及第二处理器，其特征在于，所述第一处理器和所述第二处理器分别具备下级特

权模式和比该下级特权模式更上级的上级特权模式，所述存储器具有执行状态保存区域,

该执行状态保存区域保存与处理器的执行状态有关的执行状态信息,所述虚拟计算机系统

具备：操作系统，在处理器上以所述下级特权模式执行；管理程序，在所述第一处理器上以

所述上级特权模式执行，使所述第一-处理器通过将执行状态信息向所述执行状态保存区域

储存及复原，来执行操作系统的切换执行控制处理，使用储存在所述执行状态保存区域中

的执行状态信息，向所述第二处理器进行复原通知；以及复原程序，在所述第二处理器上以

所述下级特权模式执行，使接受了所述复原通知的所述第二处理器将容纳在所述执行状态

保存区域中的执行状态信息复原为所述第二处理器的执行状态信息。

[0021]发明效果

[0022]根据具备上述构成的本发明的虚拟计算机系统，即使在第二处理器中不以上级特

权模式来执行管理程序，也能够将在第一处理器中成为切换处理对象的操作系统转移到第

二处理器而执行。

[0023]由此,第二处理器的上级特权模式能够作为用于执行安全程序的安全模式来利

用。

[0024]因此，即使构成虚拟计算机的第一处理器和第二处理器仅具备2个特权模式，也

能够使确保了系统的可靠性的操作系统的切换处理功能和利用安全程序的安全性保护功

能共存。

附图说明

[0025]图1是表示虚拟计算机系统100的主要硬件构成的框图。

[0026]图2是表示第一处理器101和第二处理器102所具备的动作模式的动作模式图。

[0027]图3是表示在多处理器LSI110上动作的程序模块的框图。

[0028]图4是管理程序调用处理中的由第二处理器102进行的处理的流程图。

[0029]图5是管理程序调用处理中的由第一处理器101进行的处理的流程图。

[0030]图6是管理程序调用结束处理中的由第一处理器101进行的处理的流程图。

[0031]图7是管理程序调用结束处理中的由第二处理器102进行的处理的流程图。

[0032]图8是表示在多处理器LSI110上动作的程序模块的框图。

[0033]图9是未定义中断处理中的由第二处理器102进行的处理的流程图。

[0034]图10是未定义中断处理中的由第一处理器101进行的处理的流程图。

[0035]图11是变形管理程序调用处理中的由笫二处理器102进行的处理的流程图。

[0036]图12变形管理程序调用处理中的由第一处理器101进行的处理的流程图。

[0037]图13是表示在多处理器LSH10上动作的程序模块的框图。

6

CN102770846A说明书3/21页

[0038]图14是安全功能调用处理中的由第一处理器101进行的处理的流程图。

[0039]图15是安全功能调用处理中的由第二处理器102进行的处理的流程图。

[0040]图16是表示以往的处理器所具备的动作模式的动作模式图。

[0041]图I7是变形例中的虚拟计算机系统1700的概略构成。

具体实施方式

[0042]〈实施方式1>

[0043]V概要〉

[0044]以下，作为本发明的虚拟计算机系统的一个实施方式，说明具备第一处理器和笫

二处理器、并使用这些处理器执行多个操作系统的虚拟计算机系统。

[0045]该虚拟计算机系统的笫-一处理器和第二处理器分别具备管理员模式和比管理员

模式更上级的管理程序/安全模式这2个特权模式。

[0046]第一处理器的管理程序/安全模式用于执行管理程序，该管理程序使处理器执行

以管理员模式执行的操作系统的切换处理。因此，用于实现安全功能的安全程序在第一处

理器的管理程序/安全模式下不执行。

[0047]与此相对,第二处理器的管理程序/安全模式不用于执行管理程序，而用于执行

安全程序。因此,管理程序在第二处理器的管理程序/安全模式下不执行。

[0048]此外，该虚拟计算机系统具有如下功能：使用应该对利用虚拟计算机系统的用户

保密的加密密钥，将加密的数字作品解密。

[0049]以下，参照附图说明本实施方式1的虚拟计算机系统的构成。

[0050]V硬件构成,

[0051]图1是表示虚拟计算机系统100的主要硬件构成的框图。

[0052]如图所示，虚拟计算机系统100作为硬件是计算机装置，由多处理器LSI（Large

ScaleIntegration）110、硬盘装置128、输出装置127、输入装置126构成。

[0053]多处理器LSI110是将第一处理器101、第二处理器102、中断控制器103、ROM（Read

OnlyMemory）104,RAM（RandomAccessMemory）105、第一接口106、第二接口107、第三接

口108、计时器109、内部总线120集成而成的集成电路，与输入装置126、输出装置127、硬

盘装置128连接。

[0054]第一处理器101和第二处理器102分别是相互同一种类的处理器,分别与内部总

线120和中断控制器103连接，通过执行存储在R0M104或RAM105中的程序，对R0M104、

RAM105、计时器109、输入装置126、输出装置127、硬盘装置128进行控制，实现各种功能。

[0055]图2是表示第一处理器101和第二处理器102所具备的动作模式的动作模式图。

[0056]如该图所示，第一处理器101和第二处理器102具备：执行应用程序的用户模式

230、下级的特权模式（以下称为“管理员模式”）220、比管理员模式22（）更上级的特权模式

（以下称为“管理程序/安全模式”）210.

[0057]第一处理器101以用户模式230执行应用程序（图中的任务A231、任务K232、任务

L233等），以管理员模式220执行操作系统（图中的笫一操作系统221、第二操作系统222）,

以管理程序/安全模式210执行管理程序211„

[0058]第二处理器102以用户模式230执行应用程序（图中的任务M234、任务N235、任务

7

CN102770846A说明书4/21页

Z236等），以管理员模式220执行操作系统（图中的第三操作系统223、第四操作系统224）,

以管理程序/安全模式210执行安全程序212。

[0059]在此，安全程序212是与使用存储在ROM104中的加密密钥进行的解密有关的、由

处理码构成的程序。

[0060]第一处理器101设定为，在管理程序/安全模式210下，能够访问容纳管理程序

211的存储器区域，但是不能访问容纳安全程序212的存储器区域。

[0061]与此相对，第二处理器102设定为，在管理程序/安全模式21（）下,能够访问容纳

安全程序212的存储器区域，但是不能访问容纳管理程序211的存储器区域。

[0062]此外，第二处理器102具有如下功能：通过执行使自处理器成为待机状态的命令,

使自处理器成为待机状态。

[0063]在此，处理器的待机状态是指,在从中断控制器103通知中断之前，停止运算而不

执行下一命令的状态。该待机状态通过从中断控制器103向处理器通知中断面解除。第二

处理器102设定为，若待机状态解除,则执行以容纳在重启指针容纳区域342（后述）中的

地址为开始地址的程序。

[0064]再次回到图1,继续说明虚拟计算机系统100的构成。

[0065]中断控制器103与内部总线120、第一处理器101、第二处理器102连接，具有：经

由内部总线120接受针对第--处理器101的中断请求、并向第一处理器101通知中断的功

能；经由内部总线120接受针对第二处理器102的中断请求，并向第二处理器102通知中断

的功能。

[0066]ROM104与内部总线120连接，存储有规定第一处理器101和第二处理器102的动

作的程序、以及第一处理器101和第二处理器102所利用的数据。

[0067]ROM104的存储区域由第一处理器101和第二处理器102共有。其中，在R0M104中

设定有仅限管理程序/安全模式的第二处理器102访问的区域，在该区域中存储有应该对

利用虚拟计算机系统100的用户保密的数据、例如用于对加密的数字作品进行解密的加密

密钥。

[0068]RAM105与内部总线120连接,存储有规定第•处理器101和第二处理器102的动

作的程序、以及第一处理器101和第二处理器102所利用的数据。

[0069]RAM105的存储区域由第一处理器101和第二处理器102共有。其中，在RAM105中

设定有仅限管理程序/安全模式的第一处理器101访问的区域、仅限管理程序/安全模式

的第二处理器102访问的区域、仅限管理程序/安全模式或管理员模式的处理器访问的区

域。

[0070]第一接口106、第二接口107、第三接口108分别与内部总线120连接，分别具有对

内部总线120和输入装置126之间的信号的交换进行中继的功能、对内部总线120和输出

装置127之间的信号的交换进行中继的功能、对内部总线120和硬盘装置128之间的信号

的交换进行中继的功能。

[0071]计时器109与内部总线120连接，由第一处理器101或第二处理器102控制。

[0072]内部总线120与第一处理器101、第二处理器102、中断控制器103、R0M104、

RAM105、第一接口106、第二接口107、第三接口108、计时器109连接,具有传递连接的这些

电路间的信号的功能。

8

CN102770846A说明书5/21页

[0073]输入装置126由键盘利鼠标等构成，与第一接口106连接，由第一处理器101或第

二处理器102控制,具有通过键盘和鼠标等接受来自用户的操作指令、并将接受的操作指

令发送给第一处理器101或第二处理器102的功能。

[0074]输出装置127内置有显示器和扬声器等，与第二接口107连接，由第一处理器101

或第二处理器102控制，具有■使用内置的显示器和扬声器等来对字符串、图像、声音等进行

显示•输山的功能。

[0075]硬盘装置128内置有硬盘，与第三接口108连接，由第一处理器1()1或第二处理器

102控制,具有向内置的硬盘写入数据的功能、以及将写入到内置的硬盘中的数据读出的功

能。

[0076]在内置于该硬盘装置128的硬盘中写入有加密的数字作品的数据、由第一处理器

101或第二处理器102执行的程序等。

[0077]上述的虚拟计算机系统100通过由第一处理器101或笫二处理器102执行存储在

ROM104,RAM105中的程序，实现各种功能。

[0078]V程序模块构成,

[0079]图3是表示在某时刻t0应该在多处理器LSI11()上执行的程序模块(以下简称为

“模块”)的框图。

[0080]在该图中，模块组300是应该在第一处理器101和第二处理器102的某一方的

处理器中执行的模块的集合，包含在模块组300中的各个模块分别将对应的程序容纳在

ROM104,RAMI05的存储区域中。

[0081]第一处理器上的模块组301是应该在第一处理器101中执行的模块的集合。

[0082]第二处理器上的模块组302是应该在第二处理器102中执行的模块的集合。

[0083]用户模式模块组305是以处理器的用户模式执行的模块的集合。

[0084]管理员模式模块组306是以处理器的管理员模式执行的模块的集合。

[0085]管理程序/安全模式模块组307是以处理器的管理程序/安全模式执行的模块的

集合。

[0086]在虚拟计算机系统100中，应用程序由以管理员模式执行的多任务对应操作系统

进行执行控制，以用户模式执行。此外，操作系统由以管理程序/安全模式执行的管理程序

进行执行控制，以管理员模式执行。

[0087]应用程序通过调用预先准备的操作系统调用例程(routine),能够对操作系统委

托处理。此外,操作系统通过调用预先准备的管理程序调用例程，能够对管理程序委托处

理。

[0088]任务A3U〜任务13312、任务L313、任务N314分别是以处理器的用户模式执行的

模块。

[0089]其中，任务A311〜任务B312和任务L313分别是应该在第一处理器101中执行的

模块，任务N314是应该在第二处理器102中执行的模块。

[0090]寄存器保存区域343是设定为仅限以处理器的管理员模式以上的特权模式执行

的模块能够访问的、用于存储处理器的寄存器的值的、RAM105的存储区域的一部分的区域。

[0091]重启指针容纳区域342是设定为仅限以处理器的管理员模式以上的特权模式执

行的模块能够访问的、用于存储表示模块的开始地址的指针的、RAM105的存储区域的一部

9

CN102770846A说明书6/21页

分的区域。

[0092]复原模块341是以第二处理器102的管理员模式执行的模块,具有将存储在寄存

器保存区域343中的值复原到第二处理器102的寄存器中的功能。

[0093]第一操作系统321、第二操作系统322、第三操作系统323是分别相互独立地动作

的多任务对应操作系统,分别由管理员模式的处理器执行。

[0094]其中，第一操作系统321和笫二操作系统322分别是在第一处理器101中成为执

行对象的操作系统,第三操作系统323是在第二处理器102中成为执行对象的操作系统。

[0095]第一操作系统321进行任务A311〜任务B312的执行控制,第二操作系统322进

行任务L313的执行控制，第三操作系统进行任务N314的执行控制。

[0096]此外,第三操作系统323在内部包含状态储存模块331、中断通知模块332、待机处

理模块333。

[0097]状态储存模块331具有如下功能：包含自模块的操作系统在第二处理器102上执

行的情况下,通过来自由包含自模块的操作系统进行执行控制的任务的委托而调用管理程

序351（后述）的调用例程时，通过该调用例程的调用紧后的命令使该任务的执行停止，将

自模块动作的处理器的寄存器的值储存到寄存器保存区域343中。

[0098]中断通知模块332具有如下功能：状态储存模块331将寄存器的值储存到寄存器

保存区域343中的情况下，使用中断控制器103,对第一处理器101通知中断。

[0099]待机处理模块333具有如下功能：在中断通知模块332对第一处理器101通知了

中断的情况下，使第二处理器102成为待机状态。

[0100]管理程序351是在管理程序/管理员模式的第一处理器101中执行的管理程序,

具有如下功能：使用计时器109进行用于使多个操作系统分时地执行的控制。

[0101]该管理程序351在内部包含操作系统切换模块352、操作系统管理模块353、语境

（上下文，context）更新模块354o

[0102]操作系统管理模块353在内部包含第一操作系统语境存储区域361、第二操作系

统语境存储区域362、第三操作系统语境存储区域363,具有在这些存储区域中存储处理器

的寄存器值的功能、和从这些存储区域读出处理器的寄存器值的功能。

[0103]第一操作系统语境存储区域361是由成为寄存器值的存储对象的处理器执行第

一操作系统321的情况下的、用于存储寄存器值的、RAM105的存储区域的一部分的区域，设

定为仅限以第一处理器的管理程序/安全模式执行的模块能够访问。

[0104]第二操作系统语境存储区域362是由成为寄存器值的存储对象的处理器执行第

二操作系统322的情况下的、用于存储寄存器值的、RAM105的存储区域的一部分的区域，设

定为仅限以第一处理器的管理程序/安全模式执行的模块能够访问。

[0105]第三操作系统语境存储区域363是由成为寄存器值的存储对象的处理器执行第

三操作系统323的情况下的、用于存储寄存器值的、RAM105的存储区域的一部分的区域，设

定为仅限以第一处理器的管理程序/安全模式执行的模块能够访问。

[0106]操作系统切换模块352具有存储成为执行控制对象的操作系统的功能；以及如下

功能（分时执行控制功能）：通过使用计时器109对时间进行计测，将以最大时间片-（time

slice）时间成为规定时间'门（例如l（）ms）的方式在第一处理器101上动作的任务、操作系

统的动作停止，使用操作系统管理模块353在对应的操作系统语境存储区域中储存第一处

10

CN102770846A说明书7/21页

理器101的寄存器的值，使用操作系统管理模块353读出与其他执行控制对象操作系统对

应的寄存器值，将读出的寄存器值复原到第一处理器101的寄存器中。

[0107]此外，操作系统切换模块352具有如下功能：在由第一处理器101执行第三操作系

统323的情况下，从由第三操作系统323进行执行控制的任务对第三操作系统323委托调

用的管理程序调用例程结束后，将在第一处理器101上动作的第三操作系统323和任务的

执行停止，使用操作系统管理模块353,将第一处理器101的寄存器的值储存到第三操作系

统语境存储区域363中，并将管理程序调用例程已结束的意思通知给语境更新模块354o

[0108]语境更新模块354具有如下功能：向第一处理器101通知了管理程序调用中断（后

述）的情况下,读出储存在寄存器保存区域343中的处理器的寄存器值，使用操作系统管

理模块353将读出的寄存器值存储到第三操作系统语境存储区域363中，将第三操作系统

323被追加到执行控制对象操作系统的意思的信号通知给操作系统切换模块352；向操作

系统切换模块352通知了管理程序调用例程已结束的意思的情况卜.，使用操作系统管理模

块353读出存储在第三操作系统语境存储区域363中的寄存器值，将读出的寄存器值存储

到寄存器保存区域343中，向重启指针容纳区域342写入复原模块341的开始地址，使用中

断捽制器103对第二处理器102通知管理程序调用结束中断（后述），将第三操作系统323

被从执行对象操作系统除去的意思的信号通知给操作系统切换模块352。

[0109]安全模块370是由管理程序/管理员模式的第二处理器102执行的模块,具有进

行与使用存储在ROML04中的加密密钥进行的解密有关的处理的功能。

[0110]以下，参照附图说明以上那样构成的虚拟计算机系统100进行的动作。

[0111]V动作〉

[0112]在此，说明虚拟计算机系统100进行的动作中的、作为特征性动作的管理程序调

用处理和管理程序调用结束处理。

[0113]V管理程序调用处理,

[0114]管理程序调用处理是如下的处理：从由在第二处理器102上执行中的操作系统

（在此为第三操作系统323）进行执行控制的任务（在此为任务N314）对第三操作系统323委

托了管理程序351的调用例程的调用的情况下，使第二处理器102上的第三操作系统323

的执行停止，取而代之，在第一处理器101上使第三操作系统323执行。

[0115]该管理程序调用处理由第一处理器101和第二处理器102共同执行。

[0116]图4是管理程序调用处理中的由第二处理器102进行的处理的流程图，图5是管

理程序调用处理中的由第一处理器101进行的处理的流程图。

[0117]管理程序调用处理通过从任务N314对第三操作系统323委托管理程序351的调

用例程的调用而开始。

[0118]管理程序351的调用例程被调用后，状态储存模块331通过该调用例程的调用紧

后的命令使该任务的执行停止,并将第二处理器的寄存器的值储存到寄存器保存区域343

中（图4:步骤S400）。

[0119]状态储存模块331将寄存器的值储存到寄存器保存区域343中后，中断通知模块

332使用中断控制器103,对第一处理器101通知管理程序调用中断（步骤S410）o

[0120]该管理程序调用中断是用于将在第二处理器102中调用了管理程序351的调用

例程的意思通知给第一处理器101的中断.

11

CN102770846A说明书8/21页

[0121]中断通知模块332对第一处理器101通知管理程序调用中断后，待机处理模块333

使第二处理器102成为待机状态（步骤S420）。

[0122]步骤S420的处理结束后，第二处理器102结束管理程序调用处理中的由第二处理

器102进行的处理。

[0123]向第一处理器101通知了管理程序调用中断后（图5:步骤S500）,语境更新模块

354读出储存在寄存器保存区域343中的处理器的寄存器值，并使用操作系统管理模块353

将读出的寄存器值存储到第三操作系统语境存储区域363中（步骤S510）,将第三操作系统

323被追加到执行控制对象操作系统的意思的信号通知给操作系统切换模块352o

[0124]从语境更新模块354通知了第三操作系统323被追加到执行控制对象操作系统的

意思的信号后，操作系统切换模块352将第三操作系统323追加到执行对象操作系统（步骤

S520）o

[0125]步骤S520的处理结束后，第一处理器101结束管理程序调用处理中的由第一处理

器101进行的处理，管理程序调用处理结束。

[0126]通过执行上述的管理程序调用处理，原本在第二处理器102上动作的第三操作系

统323变为在第一处理器101上动作。由此,第三操作系统323能够执行管理程序351的

调用例程。

[0127]V管理程序调用结束处理,

[0128]通过管理程序调用处理而成为第一处理器101的执行对象的操作系统（在此为第

三操作系统323）由第一处理器101执行的情况下，在管理程序351的调用例程的处理结束

时，开始管理程序调用结束处理。该管理程序调用结束处理是如下的处理：使在第一处理

器101上执行中的第三操作系统323停止，并使第二处理器102执行停止的第三操作系统

323,该管理程序调用结束处理是由第一处理器和第二处理器共同执行的处理。

[0129]图6是管理程序调用结束处理中的由第一处理器101进行的处理的流程图，图7

是管理程序调用结束处理中的由第二处理器102进行的处理的流程图。

[0130]通过管理程序调用处理而成为第一处理器101的执行对象的第三操作系统323由

第一处理器101执行的情况下，管理程序351的调用例程的处理结束后，操作系统切换模块

352停止在第一处理器101上动作的任务和第三操作系统323的动作，使操作系统管理模

块353将第一处理器101的寄存器的值储存到第三操作系统语境存储区域363中，并将管

理程序调用例程已结束的意思通知给语境更新模块354。

[0131]语境更新模块354被通知了管理程序调用例程已结束的意思后，使用操作系统管

理模块353读出存储在第三操作系统语境存储区域363中的寄存器值，将读出的寄存器值

存储到寄存器保存区域343中（步骤S600）,向重启指针容纳区域342写入复原模块341的

开始地址（步骤S610）,使用中断控制器103对第二处理器102通知管理程序调用结束中断

（步骤S620）,将第三操作系统323被从执行对象操作系统除去的意思的信号通知给操作系

统切换模块352<,

[0132]该管理程序调用结束中断是用于将在第一处理器101中与管理程序调用中断对

应的处理已结束的意思通知给笫二处理器102的中断。

[0133]操作系统切换模块352被通知了第三操作系统323被从执行对象操作系统除去的

意思的信号后，将第三操作系统323从执行对象操作系统除去（步骤S630）。

12

CN102770846A说明书9/21页

[0134]步骤S630的处理结束后，第一-处理器101结束管理程序调用结束处理中的由第

处理器101进行的处理。

[0135]向第二处理器102通知了管理程序调用结束中断后（图7：步骤S700）、第二处理器

102将自处理器的待机状态解除（步骤S710）,参照重启指针容纳区域342,执行以容纳在重

启指针容纳区域342中的地址为开始地址的复原模块341（步骤S720）o

[0136]通过在第二处理器102上执行复原模块341,将存储在寄存器保存区域343中的值

复原到第二处理器102的寄存器中（步骤S730）。

[0137]步骤S730的处理结束后，第二处理器102结束管理程序调用结束处理中的由第二

处理器102进行的处理，管理程序调用结束处理结束。

[0138]通过执行上述的管理程序调用结束处理，通过管理程序调用处理而在第一处理器

101上动作的第三操作系统323在管理程序351的调用例程的处理结束后，再次在第二处理

器102上动作。

[0139]V总结〉

[0140]根据上述的虚拟计算机系统100,即使在未执行管理程序351的第二处理器102上

调用管理程序351的调用例程，也由正在执行管理程序351的第一处理器101执行该管理

程序调用例程。

[0141]因此，第二处理器102不需要以管理程序/安全模式210执行管理程序351,能够

以管理程序/安全模式210执行安全模块370o

[0142]〈实施方式2>

[0143]V概要〉

[0144]以下，作为本发明的虚拟计算机系统的一个实施方式，说明将实施方式1中的虚

拟计算机系统100的一部分变形后的变形虚拟计算机系统。

[0145]实施方式2的变形虚拟计算机系统的硬件构成与实施方式1的虚拟计算机系统

100相同，但是执行的程序的一部分与实施方式1的虚拟计算机系统100不同。

[0146]实施方式1的虚拟计算机系统100是成为第二处理器102的执行对象的操作系统

的数量为1的情况的例子，但是实施方式2的变形虚拟计算机系统是成为第二处理器102

的执行对象的操作系统的数量为多个的情况的例子。

[0147]以下，对于本实施方式2的变形虚拟计算机系统的构成，参照附图,重点说明与实

施方式1的虚拟计算机系统的构成的不同点。

[0148]〈硬件构成〉

[0149]虚拟计算机系统的硬件构成与实施方式1的虚拟计算机系统100的硬件构成相

同。

[0150]在此省略说明。

[0151]〈程序模块构成,

[0152]图8是表示在某时刻t0应该在多处理器LST110上执行的模块的框图.

[0153]在变形虚拟计算机系统中的多处理器LSI110上动作的模块与在实施方式1的虚

拟计算机系统100中的多处理器LSI110上动作的模块相比,追加了笫四操作系统824,状

态储存模块331变形为状态储存模块831,复原模块341变形为第三操作系统用复原模块

841和第四操作系统用复原模块842,寄存器保存区域343变形为第三操作系统用寄存器保

13

CN102770846A说明书10/21页

存区域843和第四操作系统用寄存器保存区域844,语境更新模块354变形为语境更新模

块854,操作系统管理模块353变形为操作系统管理模块853,操作系统切换模块352变形

为操作系统切换模块852。

[0154]此外，伴随着语境更新模块354变形为语境更新模块854、操作系统管理模块353

变形为操作系统管理模块853、操作系统切换模块352变形为操作系统切换模块852,管理

程序351变形为管理程序851,伴随着状态储存模块331变形为状态储存模块831,第三操

作系统323变形为第三操作系统823,伴随着追加第四操作系统824,追加由第四操作系统

824进行执行控制的任务X815〜任务Y816O

[0155]第三操作系统用寄存器保存区域843是设定为仅限以处理器的管理员模式以上

的特权模式执行的模块能够访问的、用于存储处理器的寄存器的值的、RAM105的存储区域

的一部分的区域中的、用于存储成为对象的处理器执行第三操作系统823时的寄存器的值

的区域。

[0156]第四操作系统用寄存器保存区域844是设定为仅限以处理器的管理员模式以上

的特权模式执行的模块能够访问的、用于存储处理器的寄存器的值的、RAM105的存储区域

的一部分的区域中的、用于存储成为对象的处理器执行第四操作系统824时的寄存器的值

的区域。

[0157]第三操作系统用复原模块841是以第二处理器102的管理员模式执行的模块，具

有将存储在第三操作系统用寄存器保存区域843中的值复原到第二处理器102的寄存器中

的功能。

[0158]第四操作系统用复原模块842是以第二处理器102的管理员模式执行的模块，具

有将存储在第四操作系统用寄存器保存区域844中的值复原到第二处理器102的寄存器中

的功能。

[0159]第四操作系统824是相对于其他操作系统独立地动作的多任务对应操作系统，以

处理器的管理员模式执行。

[0160]此外,第四操作系统824进行任务X815〜任务Y816的执行控制，在内部包含状态

储存模块836、中断通知模块837、待机处理模块838。

[0161]在此,在时刻t0,该第四操作系统824为执行停止中，在笫四操作系统用寄存器保

存区域844中存储有以前第四操作系统824成为执行停止的时刻的第二处理器102的寄存

器值。

[0162]状态储存模块831是实施方式1的状态储存模块331的变形，除了状态储存模块

331的功能之外，具有以下的2个追加功能。

[0163]追加功能1：包含自模块的操作系统在第二处理器102上执行的情况下，被通知了

与包含自模块的操作系统以外的操作系统对应的、向第二处理器102的中断（以下称为“未

定义中断”）后,使由包含有自模块的操作系统进行执行控制的任务的动作停止，将自模块

正在动作的处理器的寄存器的值储存到与包含自模块的操作系统对应的寄存器保存区域

中。

[0164]追加功能2：包含自模块的操作系统在笫二处理器102上执行的情况下，被通知了

安全功能调用中断（后述）后，使由包含有自模块的操作系统进行执行控制的任务的动作停

止，将自模块正在动作的处理器的寄存器的值储存到与包含自模块的操作系统对应的寄存

14

CN102770846A说明书11/21页

器保存区域中。

[0165]状态储存模块836、中断通知模块837、待机处理模块838分别是具有与状态储存

模块831、中断通知模块332、待机处理模块333相同功能的模块。

[0166]操作系统管理模块853是实施方式1的操作系统管理模块353的变形，追加了第

四操作系统语境存储区域864,除了操作系统管理模块353的功能之外，具有以下2个追加

功能。

[0167]在此,第四操作系统语境存储区域864是由成为寄存器值的存储对象的处理器执

行第四操作系统824的情况下的、用于存储寄存器值的、RAM105的存储区域的一部分的区

域，设定为仅限以第一处理器的管理程序/安全模式执行的模块能够访问。

[0168]追加功能1：在第四操作系统语境存储区域864中存储处理器的寄存器值的功能。

[0169]追加功能2：从笫四操作系统i吾境存储区域864读出处理器的寄存器值的功能。

[0170]操作系统切换模块852是实施方式1的操作系统切换模块352的变形，除了操作

系统切换模块352的功能以外，具有以下的追加功能。

[0171]追加功能：从由在第一处理器上执行的操作系统进行执行控制的任务向该操作系

统委托了安全模块的调用例程的调用的情况下,通过该调用例程的调用紧后的命令使该任

务和操作系统的执行停止,使操作系统管理模块853将与第一处理器101的寄存器的值储

存到对应的操作系统的语境存储区域中，并将调用了安全模块的意思通知给语境更新模块

854。

[0172]语境更新模块854是实施方式1的语境更新模块354的变形，除了语境更新模块

354的功能以外，具有以下4个追加功能。

[0173]追加功能1：向第一处理器101通知了未定义中断发生中断（后述）的情况下，（1）

读出存储在与切换源操作系统对应的寄存器保存区域中的处理器的寄存器值，（2）使用操

作系统管理模块853将读出的寄存器值存储到与切换源操作系统对应的语境存储区域中，

（3）使用操作系统管理模块853读出储存在与切换目标操作系统对应的语境存储区域中的

寄存器值，（4）将读出的寄存器值存储到与切换目标操作系统对应的寄存器保存区域中，

（5）向重启指针容纳区域342写入切换目标操作系统的复原模块的开始地址，（6）使用中断

控制器103对第二处理器102通知未定义中断响应中断（后述）。

[0174]追加功能2：向第一处理器101通知了变形管理程序调用中断（后述）的情况下,

（1）读出储存在与切换源操作系统对应的寄存器保存区域中的处理器的寄存器值，（2）使用

操作系统管理模块853,将读出的寄存器值存储到与切换源操作系统对应的语境存储区域,

（3）将切换源操作系统被追加到执行控制对象操作系统的意思的信号通知给操作系统切换

模块852,（4）使用操作系统管理模块853读出储存在与切换目标操作系统对应的语境存储

区域中的寄存器值，（5）将读出的寄存器值存储到与切换目标操作系统对应的寄存器保存

区域中，（6）向重启指针容纳区域342写入切换目标操作系统的复原模块的开始地址，（7）

使用中断控制器103对第二处理器102通知变形管理程序响应中断（后述）。

[0175]追加功能3：从操作系统切换模块852通知了安全模块被调用的意思的情况下，

（1）使用操作系统管理模块853,读出存储在对应的操作系统的语境存储区域中的寄存器

值，（2）将读出的寄存器值存储在对应的操作系统的寄存器保存区域中，（3）写入与重启指

针容纳区域342对应的操作系统的复原模块的开始地址，（4）使用中断控制器103,对第二

15

CN102770846A说明书12/21页

处理器102通知安全功能调用中断，（5）将对应的操作系统被从执行对象操作系统除去的

意思的信号通知