SEV内存加密位linux内核设置过程

原创 已于 2025-03-21 18:16:01 修改 · 622 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #支持向量机 #运维

于 2025-03-21 11:57:10 首次发布

1. KVM_MEMORY_ENCRYPT_OP初始化

main()                     // QEMU 入口函数
    qemu_init()              // 初始化虚拟机
        configure_accelerators
            kvm_init
                sev_guest_init
                    KVM_SEV_INIT
                    sev_launch_start
                        KVM_SEV_LAUNCH_START
                    ram_block_notifier_add(&sev_ram_notifier);   //sev_ram_block_added KVM_MEMORY_ENCRYPT_REG_REGION
                kvm_state->memcrypt_encrypt_data = sev_encrypt_data;
                kvm_arch_init
                    kvm_vm_enable_cap
                kvm_memory_listener_register
                memory_listener_register
                cpus_register_accel
        machine_run_board_init()      //pc_init_isa
            pc_init1()    
                pc_memory_init
                pc_system_firmware_init
                    pc_system_flash_map
                        kvm_memcrypt_encrypt_data
                            kvm_state->memcrypt_encrypt_data

1.1、代码逻辑解析

此代码段属于 KVM 对 KVM_MEMORY_ENCRYPT_OP ioctl 的处理核心逻辑,其作用是为内存加密操作提供统一的入口,但实际功能由架构相关代码(如 AMD SVM)实现。以下为逐行分析:

case KVM_MEMORY_ENCRYPT_OP: {
   
   
    r = -ENOTTY; // 默认返回“不支持该操作”
    if (kvm_x86_ops->mem_enc_op) // 检查架构是否实现内存加密操作
        r = kvm_x86_ops->mem_enc_op(kvm, argp); // 调用具体实现(如 AMD SEV)
    break;
}

1.2、关键行为解读

1. 兼容性控制机制

  • -ENOTTY 的深层含义:表示当前内核或硬件不支持内存加密功能,可能原因包括:

    • 未启用 CONFIG_KVM_AMD_SEV 内核编译选项
    • 硬件无 SEV 支持(如非 AMD EPYC CPU)
    • 内核版本过旧(<4.16)或过新(≥5.10,此接口已废弃)

  • kvm_x86_ops->mem_enc_op 的动态绑定

    • AMD 实现:指向 svm_mem_enc_op()(定义于 arch/x86/kvm/svm/sev.c
    • Intel 实现:始终为 NULL(Intel 无等效 SEV 功能)
2. 参数传递流程
// 用户态(QEMU)调用示例:
struct kvm_sev_cmd cmd = {
   
   
    .id = KVM_SEV_INIT, // 子命令类型
    .data = (unsigned long)&init_params // 具体参数结构体
};
ioctl(kvm_fd, KVM_MEMORY_ENCRYPT_OP, &cmd);

// 内核态处理(svm_mem_enc_op):
static int svm_mem_enc_op(struct kvm *kvm, void __user *argp)
{
   
   
    struct kvm_sev_cmd cmd;
    copy_from_user(&cmd, argp, sizeof(cmd)); // 从用户空间复制命令
    return sev_handle_cmd(kvm, cmd.id, cmd.data); // 分发到 SEV 子处理函数
}

1.3、与新版接口的差异

旧版(KVM_MEMORY_ENCRYPT_OP) vs 新版(KVM_SEV_*)
特性 旧版接口 新版接口(≥5.10)
命令结构 统一入口 + 子命令 ID 独立 ioctl 命令(如 KVM_SEV_INIT
可维护性 参数解析耦合度高 类型安全,减少错误传递
功能扩展性 需修改共用结构体 独立命令互不影响
典型调用栈 ioctl(KVM_MEMORY_ENCRYPT_OP)svm_mem_enc_op()sev_handle_cmd() ioctl(KVM_SEV_INIT)sev_guest_init()
淘汰原因分析(内核 ≥5.10)
  1. 安全性:旧接口允许任意 cmd.id 传递,存在非法命令注入风险
  2. 性能:新版省去多层间接跳转,调用路径更短
  3. 代码清晰度:每个 SEV 操作有独立入口,便于维护

1.4、实际应用场景验证

若在 5.4 内核 中执行以下 QEMU 命令:

qemu-system-x86_64 -machine confidential-guest-support=sev0...

内核日志将出现

kvm_amd: SEV supported: 255 ASIDs
kvm_amd: SEV-ES supported: 255 ASIDs
svm_mem_enc_op: handling command KVM_SEV_INIT

此时旧接口仍有效,但 5.10+ 内核会拒绝此调用,需改用 KVM_SEV_INIT

1.5、调试技巧

  1. 动态追踪调用路径

    echo 'p:svm_mem_enc_op arch/x86/kvm/svm/sev.c:1800 cmd_id=+0(%dx):u32' > /sys/kernel/debug/tracing/kprobe_events
echo 1 > /sys/kernel/debug/tracing/events/kprobes/enable

    可捕获所有经过 svm_mem_enc_op 的命令 ID。

  2. 错误码解读

    • -ENOTTY → 检查硬件/Kconfig/内核版本
    • -EINVAL → 参数结构体不匹配(如 32/64 位模式混合)

1.6、迁移到新接口的代码示例

// 旧版(废弃):
struct kvm_sev_cmd cmd = {
   
   .id = KVM_SEV_INIT};
ioctl(kvm_fd, KVM_MEMORY_ENCRYPT_OP, &cmd);

// 新版(推荐):
ioctl(kvm_fd, KVM_SEV_INIT, &launch_params); // 直接使用独立命令

该代码段是 KVM 内存加密功能演进的历史产物,理解其工作原理有助于调试旧版本兼容性问题,但在新开发中应遵循 AMD 官方推荐使用 KVM_SEV_* 系列专用命令。

2 qemu中设置逻辑

kvm_init
    kvm_memory_listener_register
        memory_listener_register                              
            listener_add_address_space
                kvm_region_add        (kml->lis
最低0.47元/天 解锁文章
inquisiter
关注
【TEE】【AMD SEV内存加密】 白皮书
qq_43543209的博客
01-17 4292
AMD SEV内存加密
一、内核初始化中与内存管理相关的函数
2402_87288810的博客
08-16 858
本文梳理了Linux内核启动过程内存初始化的关键流程。首先分析了start_kernel函数中的内存初始化步骤,包括早期基础设施、分配器核心和后期初始化三个阶段。重点剖析了setup_arch函数,详细说明其四个阶段:早期环境准备与内存探测、关键内存区域保留、memblock初始化及高级内存管理。最后总结了从BIOS E820到memblock再到伙伴系统的整体数据流向,并列举了物理内存探测、内存保留、NUMA配置等核心API。文章通过流程图和代码注释的方式,完整呈现了Linux内核内存子系统的初始化过程
linux内核启动过程2:保护模式执行流程
大昱的博客
02-19 1622
上一篇<<linux内核压缩制作bzImage>>分析了bzImage制作流程,本篇继续分析内核启动过程,从实模式跳转到保护模式及后续执行流程。 protected_mode_jump   进入arch/x86/boot/pmjump.S: /* * void protected_mode_jump(u32 entrypoint, u32 bootparams); */ SYM_FUNC_START_NOALIGN(protected_mode_jump) ...
【DevOps】Linux 内核:原理、结构和升级更新
TradingAgents-CN专栏
05-10 1778
Linux 内核是一个复杂但功能强大的操作系统核心,它提供了许多功能和特性,使其成为一个流行且可靠的操作系统平台。Linux 内核是操作系统的核心,负责管理计算机的资源,并为应用程序提供服务。Ukuu 是一个图形化工具,可以帮助您轻松地安装和管理 Linux 内核。有多种方法可以更新 Linux 内核,具体方法取决于您的 Linux 发行版和个人喜好。有多种方法可以更新内核,选择最适合您的方法。这是最常见和最简单的更新内核的方法。一些网站提供预编译的内核包,您可以下载并安装。
Windows内核Linux内核比较
荔园微风的博客
02-15 3519
Windows内核Linux内核比较
9、Linux内核加载与启动流程详解
milk5的博客
08-29 52
本文详细解析了Linux内核加载与启动的整个流程,从GRUB加载内核内核提取、模式切换以及最终启动的全过程。内容涵盖了内核初始化步骤、关键代码分析、内存布局检测、CPU兼容性验证,以及实际应用中的注意事项和故障排查思路。通过流程图和代码示例,帮助读者深入理解Linux内核的启动机制及其相关技术细节。
宋宝华:为了不忘却的纪念,评Linux 5.13内核
热门推荐
宋宝华
08-30 1万+
Linux 5.14于14小时之前发布了,而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求进步的工程师那里,却大抵只能如此而已。为了不忘却的...
宋宝华:评Linux 5.13内核
RToax
09-11 1344
目录 Misc cgroup Landlock安全模块 系统调用的堆栈随机化 printk无锁ringbuffer的进一步优化 BPF可调用内核函数 公共的IO PAGE Fault支持 Linux 5.14于14小时之前发布了,而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求进步的工程师那里,却大抵只能如此而已。为了不忘却的纪念,我们列出5.13内核的数个激动人心的新特性: Apple M1的初始 Misc cg...
Linux阅码场 - Linux内核月报(2020年09月)
宋宝华
10-12 3477
关于Linux内核月报Linux阅码场Linux阅码场内核月报栏目,是汇总当月Linux内核社区最重要的一线开发动态,方便读者们更容易跟踪Linux内核的最前沿发展动向。限于篇幅,只会对...
AMD SEV内存加密与可信执行环境构建技术解析
操作系统方面,主流Linux发行版(如Red Hat Enterprise Linux、Ubuntu)已逐步加入对AMDSEV的支持,包括内核模块的适配、设备驱动的隔离以及对加密内存的管理。此外,应用程序开发者也需要考虑在TEE环境中运行时的...
【操作系统更新】基于kexec的内存与设备状态持久化机制研究:支持安全跨内核执行的内存保留方案设计
09-15
内容概要:本文探讨了在Linux系统中通过kexec实现...阅读建议:本文为技术探讨性质,包含多个RFC提案,建议结合Linux内核源码及相关文档深入理解各方案实现细节,并关注后续RFC补丁集的进展以跟踪社区共识形成过程
Linux:五种IO模型
2301_80894970的博客
12-27 966
本文介绍了五种I/O模型的理论概念,重点分析了非阻塞I/O和多路转接I/O模式。文章通过钓鱼的生动比喻,阐述了阻塞I/O、非阻塞I/O、信号驱动I/O、多路检测I/O和异步I/O的区别。详细讲解了select、poll和epoll三种多路转接技术的实现原理和代码示例,比较了它们的优缺点。特别深入分析了epoll的水平触发(LT)和边缘触发(ET)两种工作模式,指出ET模式必须配合非阻塞I/O使用才能发挥最佳性能。通过理论讲解和代码实现相结合的方式,全面展示了Linux系统下高效I/O处理的实现方法和技术演进
Linux上查看systemd journald日志
yinminsumeng的博客
12-26 409
Linux系统日志查看方法摘要 本文总结了systemd journal日志的多种查看方式: 基础查看:使用journalctl命令可查看全部日志,-f实时跟踪,-b显示启动日志,-o指定输出格式(如json/verbose等)。 筛选过滤: 时间筛选:--since/--until指定时间范围 服务筛选:-u按服务单元过滤 优先级筛选:-p按日志级别(0-7) 字段筛选:_PID、_UID等按进程/用户过滤 关键字搜索:-g支持正则表达式 指定文件:可通过--file查看特定日志文件,包括持久化日志、运行
基于 Linux 内核模块的字符设备互斥访问实验
weixin_57340941的博客
12-30 356
这个信号量实验是。
Linux 防火墙配置详解:iptables 与 firewalld 的实战指南
A5互联
12-30 868
在企业级 Linux 运维场景中,防火墙不仅是简单的“开关”,而是关系到网络安全性、业务可用性与性能边界的重要组件。本文以真实项目经验为基础,结合具体硬件配置、产品参数、代码示例和性能评估,全面讲解 `iptables` 与 `firewalld` 的架构差异、实战配置与优化方法,帮助你从一线配置走向深入的性能调优与安全设计。
Linux(redhat7.9)安装KVM虚拟机
两拆
12-27 406
在Redhat7.9系统中通过KVM安装虚拟机
Linux CFS 调度器深度解析
X
12-30 669
数学模型驱动: 用 vruntime 精确量化公平性简单性: 核心算法简洁优雅, 易于理解和维护自适应性: 自动适应不同负载和工作模式可扩展性: 通过组调度支持复杂场景表5: CFS 调度器的核心优势总结维度传统调度器CFS改进效果公平性基于优先级的时间片按权重的比例公平更精确的公平分配交互性需要启发式识别自然获得良好响应交互进程响应更快吞吐量固定时间片可能浪费动态调整, 减少切换整体吞吐量提升可配置性多个复杂参数主要调整 nice 值用户接口更简单代码维护复杂启发式逻辑。
如何从零开始开发 Linux 驱动程序
2501_93209230的博客
12-26 1612
对硬件设备的访问只能通过内核空间进行,而设备驱动程序可以被视为内核空间提供的一种 API,允许用户空间代码访问设备。在较早的内核版本中,内核本身的加载和卸载都是使用相同的方法,但较新的 Linux 内核版本增加了模块验证。例如,当对驱动程序管理的设备执行“打开”操作时,我执行 scull_open 函数,这相当于在系统调用中“钩住”了 open 函数。在本文中,我想和大家分享如何自学开发驱动程序:首先,阅读书籍来掌握基本概念,然后在实际应用中查找具体细节的信息。例如,我不知道驱动程序提供了哪些 API。
Linux 下开发 C/C++ 程序为什么头文件引用路径这么多和复杂
最新发布
Tipriest的博客
12-30 916
Linux系统头文件路径的复杂性源于对多架构、多语言和多版本的支持需求。/usr/include存放架构无关的C头文件,/usr/include/x86_64-linux-gnu存放x86_64架构特定的C头文件,实现Multiarch机制。C++标准库头文件则按版本和架构分层:/usr/include/c++/11存放GCC 11的通用C++头文件,/usr/include/x86_64-linux-gnu/c++/11存放架构相关的实现。这种分层结构避免了不同编译器版本和架构间的冲突,确保系统能同时支持
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值