面向RISC-V处理器的实用机密虚拟机架构实现方法及设备技术

本发明专利技术提供面向RISC‑V处理器的实用机密虚拟机架构实现方法及设备，包括通过运行于机器模式的安全监控器配置物理内存保护，在普通内存中隔离并建立安全内存池；通过时分复用将CPU划分为普通模式和机密虚拟机模式；基于陷入委托控制实现短路径机密虚拟机模式；在安全内存中创建安全vCPU结构存储机密虚拟机寄存器状态，在Hypervisor中建立共享vCPU结构用于与安全监控器快速交换状态信息；构建三级层次化内存管理结构；实现分离式的内存共享机制，将机密虚拟机的客户物理地址空间划分为私有地址空间和共享地址空间。本发明专利技术能够有效保障机密虚拟机的安全性、灵活性和可扩展性，为RISC‑V平台在高性能云计算环境中提供坚实的安全保障。

【技术实现步骤摘要】

本专利技术涉及计算机安全，具体涉及一种基于risc-v处理器的机密虚拟机（confidential virtual machine, cvm）技术，旨在提高虚拟机在不可信环境中的数据保密性和完整性，适用于云计算平台。

技术介绍

1、随着数据泄露和隐私侵犯事件的增加，可信执行环境(tee)技术因其提供的强大硬件隔离特性而变得越来越重要。在tee技术中，机密虚拟机(confidential virtualmachine, cvm)以虚拟机作为执行抽象，相比于基于进程的tee技术(如intel sgx)[1]，提供了更高的兼容性和实用性。

2、目前，主流芯片厂商已经提出了各自的机密虚拟机架构，如amd sev[2]、inteltdx[3]和arm cca[4]。同样，主要云服务提供商如amazon aws、microsoft azure和googlecloud也已集成机密虚拟机，为具有机密工作负载的租户提供安全和注重隐私的服务。

3、随着risc-v在各种计算领域的扩展，risc-v上的机密虚拟机也受到越来越多的关注和采用。risc-v最本文档来自技高网...

【技术保护点】

1.一种面向RISC-V处理器的实用机密虚拟机架构实现方法，其特征在于，包括以下过程：

2.根据权利要求1所述面向RISC-V处理器的实用机密虚拟机架构实现方法，其特征在于：所述安全监控器在执行模式切换时动态调整PMP配置寄存器权限，确保普通模式下Hypervisor无法访问安全内存池。

3.根据权利要求1所述面向RISC-V处理器的实用机密虚拟机架构实现方法，其特征在于：建立面向vCPU状态保护与更新的先加载后检查机制，在从共享vCPU结构加载寄存器状态后，SM对寄存器值进行完整性校验以防御TOCTOU攻击。

4.根据权利要求1所述面向RISC-V处...

【技术特征摘要】

1.一种面向risc-v处理器的实用机密虚拟机架构实现方法，其特征在于，包括以下过程：

2.根据权利要求1所述面向risc-v处理器的实用机密虚拟机架构实现方法，其特征在于：所述安全监控器在执行模式切换时动态调整pmp配置寄存器权限，确保普通模式下hypervisor无法访问安全内存池。

3.根据权利要求1所述面向risc-v处理器的实用机密虚拟机架构实现方法，其特征在于：建立面向vcpu状态保护与更新的先加载后检查机制，在从共享vcpu结构加载寄存器状态后，sm对寄存器值进行完整性校验以防御toctou攻击。

4.根据权利要求1所述面向risc-v处理器的实用机密虚拟机架构实现方法，其特征在于：所述三级层次化内存管理结构中，安全内存块通过双向循环链表管理，当vcpu页面缓存耗尽时，从链表头部分配新安全内存块关联至该vcpu。

5.根据权利要求1所述面向risc-v处理器的实用机密虚拟机架构实现方法，其特征在于：所述分离式的内存共享机制具体包括以下设置，

6.根据权利要求1所述面向risc-v处理器...

【专利技术属性】
技术研发人员：王鹃，王杰，张殷乾，
申请(专利权)人：武汉大学，
类型：发明
国别省市：