[发明专利]虚拟GPU中的可信本地存储器管理

说明书

实施方式针对虚拟GPU中的可信本地存储器管理。一种设备的实施方式包括：可信执行环境(TEE)；包括可信代理的GPU；以及存储器，该存储器包括GPU本地存储器，可信代理用于确保本地存储器的合适分配和重新分配，并且验证设备的图形物理地址PA和的PA之间的转换；其中，本地存储器被划分为多个保护区域，该多个保护区域包括受保护区域和未受保护区域，并且其中，受保护区域用于存储：由可信代理维护的存储器权限表，该存储器权限表包括指派给可信域的任何虚拟功能；用于在图形虚拟地址(VA)与图形访客PA(GPA)之间转换的每进程图形转换表，以及用于在图形GPA与用于本地存储器的PA之间转换的本地存储器转换表。

技术领域

本文描述的实施方式一般涉及电子设备领域，尤其涉及虚拟GPU中的可信本地存储器管理。

背景技术

某些处理操作需要高性能处理，并且中央处理单元(CPU)通常无法提供所需的处理能力，而可以利用图形处理单元(GPU)的计算处理能力，即，执行通用GPU(GPGPU)操作。操作可以包括虚拟GPU操作，其中可以实现用于GPU计算内核执行的多个安全容器。

某些安全处理需要可信执行环境(TEE，trusted execution environment)的用户(诸如可信区域扩展(TDX，Trusted Domain Extensions)技术中的可信域(TD，trusteddomains))，其中TDX是用于虚拟化环境中运行的虚拟机的TEE。为了安全地加速从主机TEE卸载到虚拟GPU的工作负荷，保护GPU本地内存中的计算内核和数据至关重要。

然而，GPU本地存储器通常由在主机TEE的可信计算基础(TCB，trusted computingbase)之外的主机内核模式驱动程序(KMD，kernel mode driver)管理。为此，GPU本地存储器中的工作负荷可能易受多种不同攻击的攻击，包括物理攻击、特权软件攻击以及来自GPU内部运行的其他内核的攻击。

附图说明

在附图中通过举例而非限定性的方式示出了此处描述的实施方式，在附图中，采用相同的附图标记表示相同的元件。

图1示出了根据一些实施方式的用于保护GPU本地存储器中的工作负荷的设备、系统或过程的部件；

图2是根据一些实施方式的利用加密和访问控制来提供对GPU本地存储器中的工作负荷的保护的系统的图示；

图3A是根据一些实施方式的利用加密和访问控制从主机访问GPU本地存储器的过程的图示；

图3B是根据一些实施方式的利用加密和访问控制从GPU引擎访问GPU本地存储器的过程的图示；

图4是根据一些实施方式的利用访问控制来提供对GPU本地存储器中的工作负荷的保护的系统的图示；

图5A是根据一些实施方式的利用访问控制从主机访问GPU本地存储器的过程的图示；

图5B是根据一些实施方式的利用访问控制从GPU引擎访问GPU本地存储器的过程的图示；以及

图6是根据一些实施方式的用于在虚拟GPU中提供可信本地存储器管理的计算设备的示意图。

具体实施方式

在此描述的实施方式针对虚拟GPU中的可信本地存储器管理。

在一些实施方式中，设备、系统或方法用于提供存储器管理以保护GPU本地存储器中的虚拟GPU工作负荷免受物理攻击、特权软件攻击以及来自运行在GPU内的其它内核的攻击。