等価性

Any program run under the VMM should exhibit an effect identical with that demonstrated if the program had been run on the original machine directly

直訳すると，仮想マシンモニタの下で動作するプログラムは元のマシンで直接動作する場合と全く同じ作用を示さなければならない，ということですね．但し書きとして利用可能な資源とタイミングの２つの例外が記されています．前者は仮想マシンモニタの下では利用可能な資源が実機とは異なるかもしれないということで，後者は他に別の仮想マシンが並行して動作しているのでタイミングは実機とは違うかもしれないということです．

この特性の定義によって Time-sharing なオペレーティングシステムは仮想マシンモニタの要件から外れます．

効率性

It demands that a statistically dominant subset of the virtual processor's instructions be executed directly by the real processor, with no software intervention by the VMM.

仮想プロセッサの命令の大部分は実プロセッサによって直接実行されなければならないということです．つまり仮想マシンモニタがソフトウェア的に介入してはいけないということです．

この特性によってエミュレータやシミュレータの類のプログラムは仮想マシンモニタの要件から外れます．

資源管理

The VMM is said to have complete control of these resources if (1) it is not possible for a program running under it in the created environment to access any resource not explicitly allocated to it, and (2) it is possible under certain circumstances for the VMM to regain control of resources already allocated.

仮想マシンモニタは仮想マシンに提供する資源を全て完全に制御できなければならないということです．何をもって完全に制御したことになるのかという要件が以下の２つです．

1. 仮想マシンモニタの下で動作しているプログラムが，自身に明示的に割り振られていいない資源にアクセスすることが不可能である
2. ある状況のもとで仮想マシンモニタは既に割り振った資源を取り戻すことが可能である

特権命令

いわゆる特権命令そのものです．プロセッサがユーザモードで動作している場合にこの命令が発行されるとトラップします．ハイパーバイザモードではトラップしません．

IBM System/370 の LPSW (Load PSW) が例として挙げられています（PSW: processor status word）．

制御センシティブ命令

That is, an instruction is control sensitive if it attempts to change the amount of (memory) resources available, or affects the processor mode without going through the memory trap sequence.

利用可能な資源の量を変更したりメモリトラップシーケンスを通らずにプロセッサモードを変更しようとするような命令です．平たく言うと資源に対して変更を行う命令です．

全ての特権命令は制御センシティブ命令に属することになります．その他の例としてユーザモードに戻る DEC PDP-10 の JRST 1 命令が挙げられています．

動作センシティブ命令

Intuitively, an instruction is behavior sensitive if the effect of its execution depends on the value of the relocation-bounds register, i.e. upon its location in real memory, or on the mode.

命令の実行の作用が再配置境界レジスタやモードに依存してしまう命令です．

この動作センシティブ命令は２種類しか存在しません．実メモリでの位置（再配置境界レジスタ）に依存する位置センシティブ命令と，マシンのモードに依存するモードセンシティブ命令です．

位置センシティブな命令の例として物理アドレスをロードする IBM360/ 67 の ERA 命令，モードセンシティブな命令の例として前の命令空間から移動する Dec PDP-11/45 の MVPI が挙げられています．

定理１：仮想マシンモニタの構成要件

THEOREM 1. For any conventional thh'd generation computer, a virtual machine monitor may be constructed if the set of sensitive instructions for that computer is a subset of the set of privileged instructions.

形式通りの第三世代コンピュータが仮想化可能であるためには全てのセンシティブ命令は特権命令でもある必要があるということです．この論文で一番重要な定理です．

定理２：再帰的な仮想化の要件

THEOREM2. A conventional third generation computer is"recursively virtualizable if it is: (a) virtualizable, and (b) a VMM without any timing dependencies can be constructedfor it.

再帰的な仮想化を行うためにはコンピュータが仮想化可能であり，タイミング依存が存在しない仮想マシンモニタが構築可能である必要があるということです．

再帰的な仮想化とは仮想マシンを仮想マシンモニタとしてその上にさらに仮想マシンを作っていくことを意味しています．

定理３：ハイブリット仮想マシンモニタ

まずハイブリッド仮想マシンモニタ (HVM) って何かと言うと，仮想マシンモニタの特性要件の２つめの効率性を緩めて，仮想マシンモニタが命令をソフトウェアで翻訳してよいとした仮想マシンモニタです．Xen の HVM=Hardware Virtual Machine とややこしいですね．

これを論じるために，それぞれのセンシティブ命令をさらにユーザセンシティブ命令とハイパーバイザセンシティブ命令に分類しています．分類としては例えばユーザモードから実行されたときに制御センシティブな命令になっていれば，その命令はユーザ制御センシティブ (user control sensitive) だ，という具合です．

このハイブリット仮想マシンモニタが構築可能であるための要件を示す定理が次のものです．

THEOREM 3. A hybrid virtual machine monitor may be constructed for any conventional third generation machine in which the set of user sensitive instructions are a subset of the set of privileged instructions.

ハイブリット仮想マシンモニタを構築するためにはユーザセンシティブ命令が特権命令である必要がある，ということです．

先程も例に出てきた PDP-10 の JRST 1 命令はハイパーバイザ制御センシティブ命令に分類されるのですが，これが特権命令でないために仮想化はできませんでした．しかし PDP-10 ではユーザセンシティブ命令が全て特権命令にも分類されるので，ハイブリッド仮想マシンモニタであれば構築可能である，ということになります．

IA-32 プロセッサに対する仮想化の要件

まず Robin は Popek と Goldberg の定理が今の仮想マシンモニタにも適用できると論じた上で，仮想マシンモニタ (VMM) の分類をしています．その中で Type I VMM は直接マシンの上で動作するものと定義しています．この Type I VMM を実現するためのプロセッサの要件が次のようにまとめられています．

• 要件1: 非特権命令の実行方法は特権モードとユーザモードで等価でなくてはならない
• 要件2: 実システムや他のVMをアクティブなVMから保護するために保護システムやアドレス変換システムが存在しなければならない
• 要件3: 仮想マシンが以下のセンシティブ命令を実行しようとしたときに自動的にVMMに通知されなくてはならない
  • 3A: モードやマシンの状態を変更・参照する命令
  • 3B: センシティブなレジスタやメモリロケーションを読み込み・変更する命令
  • 3C: ストレージ保護システム，メモリシステム，アドレス再配置システムを参照する命令
  • 3D: すべての I/O 命令

要件3Bで言われている命令は例えば Time Stamp Counter を参照する RDTSC 命令や IDTR を参照する LIDT 命令のことです．

レジスタ操作命令

レジスタ操作命令のうち以下の６命令が要件3Bを満たしていません．

• SGDT, SIDT, SLDT
• SMSW
• PUSHF, POPF

システム保護命令

システム保護命令のうちの以下の12命令が要件3Cを満たしていません．

• LAR, LSL, VERR, VERW
• POP
• PUSH
• CALL, JMP, INT n, RET
• STR
• MOVE

SGDT, SIDT, SLDT

SGDT, SIDT, SLDT はディスクリプタテーブルの値をメモリにストアする命令で非特権命令です．[GIL]DTR は１つしかないので複数の仮想マシンが同じレジスタを使おうとするときに問題が生じてしまいます．レジスタに対する CPL=0 以外のアクセスはトラップすることができるので，仮想マシンモニタで望ましい操作に置き換えることができると言っているのだけど，S[GIL]DT を [GIL]DTR の参照に使い，その値を自身のオペレーションに使おうとするときに問題が生じます，とも言っていて正直何を言っているのかよく分からないので誰か解説希望．

SMSW

SMSW は非特権命令でオペレーションシステムやプロセッサの状態を記録する CR0 レジスタを保存するのだけど，仮想マシンのモードの状況によっては PE bit が誤った状態でストアされてしまうので問題が生じるということ．

ただし SMSW は 386 以降のプロセッサで 286 への後方互換を考えた場合にしか問題にならないので事実上無視していいかと．

PUSHF, POPF

PUSHF と POPF は悪名高い EFLAGS レジスタ[要出典]を非特権モードでスタックに/からpush/popしてスタックポインタを変更する命令ですが，PUSHF では SMSW 同様に誤ったフラグをストアしてしまう可能性があり，POPF ではフラグの値を書き換えてしまう可能性があるということです．IOPL あたりが絡んでます．

LAR, LSL, VERR, VERW

LAR, LSL, VERR, VERW の４つの命令は実行の最中に CPL

POP, PUSH

POP と PUSH は CPL に依存しています．CPL によって POP は CS レジスタを操作できません．ロードしているレジスタとその時の CPL, DPL, RPL に依ってはいくつかの状況で問題を引き起こします．PUSH も CS レジスタと SS レジスタが CPL を含んでいるため同様の問題を引き起こします．

CALL, JMP, INT n, RET

CALL は near call，同じ特権レベルへの far call，違う特権レベルへの far call，タスクスイッチの４種類に分類できるのですが，このうち違う特権レベルへの far call とタスクスイッチで問題が生じます．違う特権レベルへの far call では call gate を通じてプロシージャのコードセグメントへアクセスする必要があります．タスクはそれぞれの特権レベルに応じたスタックを使うため，プロセッサはタスクを呼び出されたプロシージャの新しい特権レベルに対応するスタックに切り替えます．タスクスイッチは call gate と似ているのですが，ターゲットオペランドが task gate のセグメントセレクタであることが違います．これらの CALL では CPL と RPL を DPL と比較します．よって仮想マシンが CPL=3 で動作している場合に正しく動作しない可能性があるということです．

JMP は CALL 同様ですが制御を移すのでリターンアドレスを記録しない点だけで違います．

INT は CALL に似ていますがリターンアドレスを push する前に EFLAGS レジスタを push してます．

RET は CALL の逆の操作なので察してください．

STR

STR はタスクレジスタからセグメントセレクタを汎用レジスタやメモリにストアする命令なのですが，セグメントセレクタからタスクスステートセグメントを参照して，タスクが自身の RPL を検査できるようになってしまうことが問題になるようです．

MOVE

MOV では６つ全てのセグメントレジスタを汎用レジスタやメモリにストアすることができるの便利な子なのですが， CPL を含んでいる CS レジスタと SS レジスタをストアできることが問題になります．