[发明专利]用于直通设备的方法、系统、安全处理器和存储介质

说明书

一种用于直通设备的方法、系统、安全处理器和存储介质，该方法包括：接收主机响应于安全虚拟机发生嵌套缺页异常而发送的缺页地址，由安全处理器判断缺页地址是否属于直通设备的设备内存；以及如果缺页地址属于设备内存，则由安全处理器使得嵌套页表中的缺页地址设置为以不加密的方式读写。本方法实现虚拟机设备直通功能，并且有效避免主机操作系统的过度干预，提高虚拟机安全性。

技术领域

本公开的实施例涉及虚拟机的设计方法，并且更具体地，涉及用于直通设备的方法、系统、安全处理器和非暂时性存储介质。

背景技术

虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。

虚拟机对于实际物理设备支持一般有半虚拟化(Virtio)和设备直通(IOMMU)方案。半虚拟化利用虚拟机和主机之间的共享内存传递数据，虚拟机监视器(virtualMachine monitor，VMM)再将数据发送到物理设备。然而，设备直通(Device Pass Through)一般通过输入/输出内存管理单元(Input/Output Memory Management Unit，IOMMU)实现。IOMMU是一种内存管理单元(Memory Management Unit，MMU)，它的作用是连接直接内存存取-能力I/O总线(Direct Memory Access-capable I/O Bus)和主存(Main Memory)。IOMMU可以将设备(Device)访问的虚拟地址转化成物理地址。设备直通通过IOMMU将主机Host中的物理设备直接分配给客户机Guest使用，虚拟机独占这个物理设备，因而虚拟机可以通过IOMMU直接与物理设备交互。

发明内容

在设备直通的方案中，以PCI(Peripheral Component Interconnect，外设部件互连)设备为例，主机BIOS负责把设备内存通过PCI配置空间映射到系统地址空间。由于该配置空间必须由主机来完成，虚拟机无法再次对其直通设备PCI空间进行配置。当安全虚拟机对设备内存发起读写请求时产生嵌套缺页异常，主机通知安全处理器为其建立嵌套页表。主机操作系统可以通过系统地址空间的映射关系来判断嵌套缺页异常的缺页地址是否属于设备内存，进而通知安全处理器对嵌套页表的加密标志位做相应处理。

为了保证安全性，内存隔离型安全虚拟机必须运行在内存加密功能打开的主机上，这就要求安全处理器为缺页异常对应的系统地址设置合适的加密标志位。另外，为了提高虚拟机设备性能，安全虚拟机需要支持设备直通功能。当虚拟机访问设备内存时，安全处理器就需要为设备内存建立虚拟机的嵌套页表，将设备内存映射到虚拟机地址空间，并清零其对应的加密标志位。若由主机操作系统来决定当前嵌套缺页异常发生的地址是否属于设备内存并清零加密标志位，则存在安全风险，因为主机是不可信的，存在被攻击的可能性。

为解决上述技术问题，本公开的实施例的一方面提供了一种用于直通设备的方法，该方法包括：接收主机响应于安全虚拟机发生嵌套缺页异常而发送的缺页地址，由安全处理器判断缺页地址是否属于直通设备的设备内存；以及如果缺页地址属于设备内存，则由安全处理器使得嵌套页表中的缺页地址设置为以不加密的方式读写。

例如，根据本公开的实施例提供的方法，其中，由安全处理器判断缺页地址是否属于直通设备的设备内存包括：由安全处理器判断缺页地址是否在设备内存链表中，其中，设备内存链表由安全处理器维护。

例如，根据本公开的实施例提供的方法，其中，由安全处理器使得嵌套页表中的缺页地址设置为以不加密的方式读写包括：由安全处理器在嵌套页表中映射缺页地址，并且将嵌套页表中的所映射的缺页地址的加密标志位设置为不加密或清零加密标志位。