本文深入探讨AMD64体系结构中的Secure Encrypted Virtualization (SEV)技术,包括如何确定支持、启用SEV及其行为,以及SEV-ES和SEV-SNP的详细功能。内容涵盖CPUID查询、SEV启用条件、加密行为、页表支持、与SME的交互、页flush机制、SEV_STATUS MSR、VTE、SEV-ES的开启与原理,以及Secure Nested Paging (SEV-SNP)的初始化和管理。
AMD64 Architecture Programmer's Manual Volume 2: System Programming
15.34 Secure Encrypted Virtualization
15.34.1 Determining Support for SEV
通过CPUID 8000_001F[EAX] 可以查询是否支持SEV。第一个Bit指示了是否支持SEV。SEV可用时,CPUID 8000_001F[EBX] 和 8000_001F[ECX] 可以提供附加的信息,比如同时支持的密钥数量和C-bit处于地址的哪一位。另外,当SEV使能时,物理地址的可用位数可能会减少,比如从48位减少到43位,其中的43~47位作为预留。
13.34.3 Enabling SEV
启动加密虚拟机之前,必须通过MSR C001_0010 (SYSCFG) 使能MemEncryptionModEn。VMCB的偏移090h可以决定使用VMRUN指令启动虚拟机时SEV是否使能。
使能SEV时,必须同时满足以下要求:
- NPT必须开启
- MSR C001_0015 (HWCR) [SmmLock] 必须设置
- ASID(VMCB偏移058h)必须在SEV的允许范围之内
可用的ASID的范围为:从1到CPUID 8000_001F[ECX]定义的值。
注意:在CPUID Fn8000_001F_EAX[11]值为1的机器上,hypervisor必须是64位模式,否则对SEV虚拟机执行VMRUN时会报错(错误码VMEXIT-INVALID)。
15.34.5 SEV Encryption Behavior
guest使用C-bit来决定页是private还是shared,仅对数据页有效。
15.34.6 Page Table Support
C-bit处于地址的哪一位是由CPUID 8000_001F[EBX] 决定的。GPA->HPA的地址转换过程中,C-bit并不用作地址转换,而是单独出来作为最后是否加密的标识。假设C-bit是第47位,GVA是0x54321,其GPA是0x8000 00AB C321,其C-bit为1,表示该页需要加密。GPA->HPA时,直接忽略C-bit,使用地址0xAB C321作为GPA进行转换。C-bit直接附加到转换出来的HPA上,如图所示:
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
