AMD SEV实现

最新推荐文章于 2024-01-18 16:36:27 发布
最新推荐文章于 2024-01-18 16:36:27 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: 虚拟化 Linux qemu 文章标签: linux 云计算 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bemind1/article/details/112247629
版权

SEV使用流程

启动虚拟机参考流程

image.png

image.png

迁移参考流程

image.png

libvirt SEV相关代码分析

struct _virDomainObj {
    ...
    virDomainDefPtr def; /* The current definition */
    ...
}
struct _virDomainDef {
   ...
    virDomainSEVDefPtr sev;
    ...
}
struct _virDomainSEVDef {
    int sectype; /* enum virDomainLaunchSecurity */
    char *dh_cert;
    char *session;
    unsigned int policy;
    bool haveCbitpos;
    unsigned int cbitpos;
    bool haveReducedPhysBits;
    unsigned int reduced_phys_bits;
};
typedef struct _virDomainSEVDef virDomainSEVDef;
typedef virDomainSEVDef *virDomainSEVDefPtr;
typedef enum {
    VIR_DOMAIN_LAUNCH_SECURITY_NONE,
    VIR_DOMAIN_LAUNCH_SECURITY_SEV,
    VIR_DOMAIN_LAUNCH_SECURITY_LAST,
} virDomainLaunchSecurity;
struct _virQEMUCaps {
    ...
    virSEVCapability *sevCapabilities;
    ...
};
typedef struct _virSEVCapability virSEVCapability;
typedef virSEVCapability *virSEVCapabilityPtr;
struct _virSEVCapability {
    char *pdh;
    char *cert_chain;
    unsigned int cbitpos;
    unsigned int reduced_phys_bits;
};
/**
 *
 * SEV Parameters
 */
/**
 * VIR_NODE_SEV_PDH:
 *
 * Macro represents the Platform Diffie-Hellman key, as VIR_TYPED_PARAMS_STRING.
 */
# define VIR_NODE_SEV_PDH "pdh"
/**
 * VIR_NODE_SEV_CERT_CHAIN:
 *
 * Macro represents the platform certificate chain that includes the platform
 * endorsement key (PEK), owner certificate authority (OCD) and chip
 * endorsement key (CEK), as VIR_TYPED_PARAMS_STRING.
 */
# define VIR_NODE_SEV_CERT_CHAIN "cert-chain"

virDomainSEVDefParseXML函数通过解析虚拟机xml来填充struct virDomainSEVDef。

qemuProcessLaunch

    ->qemuDomainBuildNamespace

        ->qemuDomainSetupLaunchSecurity # 里面将/dev/sev添加到paths中。

qemuProcessLaunch

    ->qemuBuildCommandLine

        ->qemuBuildSEVCommandLine # 添加-object sev-guest,id=sev0,cbitpos=<cbitpos>,reduced-phys-bits=<reduced_phys_bits>,policy=0x<policy>,dh-cert-file=<priv->libDir>/dh_cert.base64,session-file=<priv->libDir>/session.base64

        ->qemuBuildMachineCommandLine # 为-machine参数添加memory-encryption:-machine ...,memory-encryption=sev0

DH算法是用来进行密钥交换的算法。在使用SEV虚拟机的场景下,DH算法用于交换guest owner(用户)与SEV固件的主密钥(master secret key),该主密钥用于guest owner与SEV固件进行加密通信。

首次调用virsh domcapabilities流程如下(libvirt-6.9,/var/cache/libvirt/qemu/capabilities/没有之前缓存的情况下):

virConnectGetDomainCapabilities

    ->qemuConnectGetDomainCapabilities

        ->virQEMUCapsCacheLookupDefault

            ->virQEMUCapsCacheLookup

                ->virFileCacheLookup

                    ->virFileCacheValidate

                        ->virFileCacheNewData

                            ->virQEMUCapsNewData

                                ->virQEMUCapsNewForBinaryInternal

                                    ->virQEMUCapsInitQMP

                                        ->virQEMUCapsInitQMPSingle

                                            ->virQEMUCapsInitQMPMonitor

         

最低0.47元/天 解锁文章
小写的毛毛
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AMD SEV介绍
bemind1的专栏
12-29 8635
AMD EPYC(霄龙)处理器引入了两个硬件安全组件: AES-128硬件加密引擎:嵌入在内存控制器内,用于对内存数据进行加解密。 AMD Secure Processor(AMD-SP):负责安全密钥的生成和管理。 Secure Memory Encryption (SME):AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。 Secure Encrypted Virtualization (SEV) :将主内存加密功能与现有的AMD-V虚拟化体系结构来支持加密的虚拟机。
AMD SEV编程手册
bemind1的专栏
01-06 1576
AMD64 Architecture Programmer's Manual Volume 2: System Programming 15.34 Secure Encrypted Virtualization 15.34.1 Determining Support for SEV 通过CPUID 8000_001F[EAX] 可以查询是否支持SEV。第一个Bit指示了是否支持SEVSEV可用时,CPUID 8000_001F[EBX] 和 8000_001F[ECX] 可以提供附加的信息,比如同时
通过qemu命令搭建虚拟机环境
谢健的专栏
06-28 6104
通过qemu命令搭建虚拟机环境最近要测试Hadoop的性能要搭建虚拟机的环境,之前搭建过,发现qemu很长时间没用就忘记了。今天在这里记录一下,以便以后查阅。1,通过如下命令创建磁盘文件:qemu-img create -f qcow2 f21vm1.qcow2 13G上面命令是创建一个磁盘大小为13G,类型为qcow2,文件名为f21vm1.qcow2的磁盘文件。 2,通过如下命令加载iso文件
【TEE】AMD SEV- SNP和Intel TDX的概述
最新发布
qq_43543209的博客
01-18 1253
如今,软件公司越来越多地将其应用程序迁移到云环境中,而不是在本地托管它们。这可能会对机密的用户数据构成风险,因为云服务提供商( CSP )可以直接访问运行潜在安全关键应用程序的硬件。TEE提供了一种安全执行代码的方法,而不存在敏感数据被披露给恶意行为者的风险。SGX的工作方式是将应用程序划分为一个由飞地安全保护的可信部分和一个正常运行的不可信部分。这降低了开发体验,因为开发人员需要了解安全模型并相应地拆分应用程序,而保护VM不需要调整应用程序代码。
qemu+linux+x86+64,kvm 内部错误:无法找到适合 x86_64 的模拟器
weixin_39997443的博客
05-13 1419
本文将为您描述kvm 内部错误:无法找到适合 x86_64 的模拟器,教程操作方法:0x00 问题安装完 KVM 之后,启动管理工具报错:内部错误:无法找到适合 x86_64 的模拟器于是查看 libvirtd 服务状态,查看到以下内容:6月 14 10:18:53 localhost.localdomain libvirtd[21222]: 2019-06-14 02:18:53.498+000...
AMD SEV使用
bemind1的专栏
12-31 2039
qemu中有对SEV的部分介绍:qemu-5.0/docs/amd-memory-encryption.txt Libvirt对SEV的配置 libvirt官方文档如下: https://libvirt.org/formatdomaincaps.html#elementsSEV https://libvirt.org/kbase/launch_security_sev.html https://libvirt.org/formatdomain.html#sev 宿主机支持SEV检查 在libv
AMD处理器编程指导手册
02-18
8. **安全特性**:AMD可能包含安全特性,如Secure Encrypted Virtualization(SEV)和内存加密,用于保护数据安全。手册将解释如何启用和利用这些安全功能。 9. **调试工具和接口**:AMD提供了多种调试工具和接口,...
AMD_kernel
07-08
同时,AMD内核也可能包含了对硬件级别的安全功能的支持,如Secure Encrypted Virtualization (SEV) 和Secure Encrypted Virtualization-Enhanced Secure Key (SEV-ES),这些特性可增强虚拟机的安全性,保护敏感数据...
hello-amd:使用RequireJS的AMD中的Hello World(即异步模块定义)
05-25
在研究AMD和RequireJS之前,先看一下如何用实现这一点。 使用RequireJS 该应用程序位于src文件夹中。 这包括本示例中src / js / lib下使用的requirejs和jquery库。 RequireJS将在需要时异步加载所需的模块。 在...
svm / amd虚拟机管理程序的最小测试实现-C/C++开发
05-27
linux.dev'--no-out-link)/ lib / modules / * / build M = $(pwd)模块查看带有$ dmesg的日志-关注资源查看linux / arch / x86 / kvm / svm.c有趣的功能是:pre_svm_run pre_sev_run svm_hardware_enable svm_...
第三代AMD EPYC处理器深度解析及独家测试.pdf
09-25
安全性是企业级处理器的另一关键考量,AMD在Zen 3架构中加强了安全特性,引入了如INVLPGB、AVX2-VAES/VPCLMULQDQ、SEV-ES Enhancements、Secure Nested Paging、CET Shadow Stack和Memory Protection Keys for Users...
amd 虚拟化怎么开_CPU硬件辅助虚拟化技术
weixin_39627455的博客
10-29 1778
目前主要有Intel的VT-x和AMDAMD-V这两种技术。其核心思想都是通过引入新的指令和运行模式,使VMM和Guest OS分别运行在不同模式(ROOT模式和非ROOT模式)下,且Guest OS运行在Ring 0下。通常情况下,Guest OS的核心指令可以直接下达到计算机系统硬件执行,而不需要经过VMM。当Guest OS执行到特殊指令的时候,系统会切换到VMM,让VMM来处理特殊指令。...
9.2 libvirt中对Qemu的控制
wanthelping的博客
07-26 3921
本节通过几个简单情景来分析libvirt对虚拟机的控制方式
【TEE】【AMD SEV-SNP 白皮书】通过完整性保护加强VM隔离
qq_43543209的博客
01-17 1699
2016年,AMD推出了第一个x86技术- -安全加密虚拟化( Secure Encrypted Virtualization,SEV ),旨在将虚拟机与虚拟机管理程序隔离。虽然虚拟机管理程序在传统上是虚拟化安全模型中的可信组件,但许多市场可以从不同的VM信任模型中获益。例如,在云中,客户可能希望基于VM的工作负载免受云管理员的损害,以保持数据机密性,并尽量减少暴露在云提供商的基础设施中的缺陷。这就导致了在硬件级别上将 “虚拟机” 与 “虚拟机管理程序和可能在物理服务器上共存的其他代码” 隔离的需求。
nova 通过 qemu-guest-agent 修改用户密码
zhangzhenhao的专栏
09-23 4602
背景:     Openstack 的命令行工具中有 修改用户密码的命令。但是如果不做任何修改(配置)的话,无法正常工作。为了让其能够正常工作。我们需要做如下步骤。 大前提 libvirt >=1.2.6在nova can_set_password 函数判断了支持该功能的版本号。     首先添加镜像(以ubuntu16.04LTS 为例)。并且给镜像添加两个属性: #  open
KVM虚拟机增备 磁盘
ayout_five的博客
11-03 476
kvm磁盘增备
一个libvirt/qemu创建虚拟机错误的解决办法
热门推荐
追寻神迹
11-05 2万+
..  声明:   本博客欢迎转发,但请保留原作者信息!   博客地址:http://blog.csdn.net/halcyonbaby   新浪微博:寻觅神迹内容系本人学习、研究和总结,如有雷同,实属荣幸!   ====================================最近使用libvirt/qemu创建虚拟机,qemu一直报这样的一个错误:  [root@localhost ce
Linux 记录kvm安装中的一次快速排错
zsk_john的技术分享专用博客
06-06 1552
Linux 记录kvm安装中的一次快速排错 kvm是一项在Linux下使用的虚拟机程序,在Redhat以及centos 6 7和现在的8版本中都是自带的,但是需要安装管理配置虚拟机的一系列软件包,其中的libvirt为一项服务级别的软件包,该包管理virt系列的软件,例如,virt-install。 我这次出错是由于前期下载的iso包不能通过kvm启动安装,因此清除了前面安装的三个包,命令为: yum remove qemu-kvm libvir...
安全虚拟化SEV简单介绍
artine的专栏
03-29 4978
安全虚拟化SEV简单介绍什么是SEV什么是SVMSME介绍SEV介绍总结 什么是SEV SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术的英文首字母的缩写。简单来说就是主内存控制器具备了加密功能可以对虚拟机内存数据进行保护。在真正介绍SEV之前,我们首先要弄清楚两个关键的基本概念:SVM、SME。下面先简单了解一下SVM和SME。 什么是SVM S...
kernel doesn't support amd sev
09-17
“kernel doesn't support amd sev”是指操作系统的内核不支持AMDSEV(Secure Encrypted Virtualization)功能。AMD SEV是一种硬件技术,旨在提高虚拟化环境的安全性。它允许虚拟机在共享主机上运行时,将虚拟机的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值