[发明专利]基于可信执行环境的安全虚拟机系统设计方法及系统

说明书

本发明提供了一种基于可信执行环境的安全虚拟机系统设计方法及系统，包括：将可信虚拟机监控器划分为普通世界虚拟机监控器和安全世界虚拟机监控器：所述普通世界虚拟机监控器负责基础的虚拟机调度、内存管理、设备管理等管理功能；在普通世界虚拟机监控器完成配置时进入可信虚拟机，并触发跨世界切换；所述安全世界虚拟机监控器负责安全性检查，协同保障可信虚拟机的可用性和安全性；安全世界虚拟机监控器使用半虚拟化等方法给可信虚拟机提供I/O功能；普通世界虚拟机监控器和安全世界虚拟机监控器协同动态管理物理内存资源。本发明充分利用了ARM现有的TrustZone硬件特性，对虚拟机透明，这意味着对底层硬件和上层虚拟机都不需要修改，体现了本设计方案的可用性。

技术领域

本发明涉及虚拟化技术领域，具体地，设计一种基于可信执行环境的安全虚拟 机系统设计方法及系统。

背景技术

虚拟机监控器，是操作系统中重要的软件组件，处于比虚拟机更高的特权级。 在计算机系统中向下对底层计算、存储、外设等资源进行统一管理，向上为应用程 序提供虚拟机的一致抽象，为每个虚拟机提供硬件资源的虚拟化，主要包括CPU、 内存、I/O设备等部分，是云计算的核心组件之一。

可信虚拟机技术，是指利用硬件的安全隔离机制实现不同虚拟机之间的高安全性隔离的技术。可信虚拟机技术高度依赖硬件提供的隔离机制。大多数的可信虚拟 机技术都基于硬件隔离机制设计上层相应的软件隔离方案。可供选择的硬件安全机 制有IntelTDX,AMD SEV等。其中Intel TDX硬件提供内存安全隔离并提供加密内 存保护。TDX机制中在硬件上实现了TDX模块以监控虚拟机监控器和虚拟机间的交 互等。一定程度上保护了虚拟机的安全，能够被用于可信虚拟机服务。但Intel TDX 需要对虚拟机进行大量修改，并且只支持有限个可信虚拟机。而硬件实现的TDX模 块不便于更新也导致其相对于其他方案灵活性较低的缺点。

随着社会对于个人信息和数据安全的关注度日益上升，用户对于云计算安全性提出了更高要求，促进了可信虚拟机技术在云计算领域中大量运用。如何高效利用 现有的硬件隔离机制提供高可用、高性能的可信虚拟机服务已经成为了业内关注的 重要技术问题。

可信执行环境是重要的硬件安全保障机制，例如TrustZone技术是ARM架构上 重要的安全扩展特性，并且还具有在可信执行环境中支持虚拟化的能力。它将处理 器状态划分为普通世界(Normal World)和安全世界(Secure World)。普通世界 在处理器状态、内存、外设都与安全世界相隔离。安全世界有自己专属的内存和外 设，只能允许安全世界中运行的程序访问。普通世界和安全世界分别有多个异常级 别。普通世界中有用户级、内核级、虚拟化级(分别如ARMv8中的EL0、EL1、EL2) 异常级别，其中用户态程序运行在用户级，操作系统内核运行在内核级，虚拟机监 控器运行在虚拟化级。安全世界中的异常级别与普通世界相近，也有用户级、内核 级级别(如ARMv8中的S-EL0、S-EL1)。安全应用程序运行在S-EL0级别，安全操 作系统运行在S-EL1级别。ARMv8.4中新发布的SEL2安全扩展特性就是在安全世界 中增加了一个新的异常级别——S-EL2。SEL2安全扩展特性为在安全世界中实现虚 拟化，运行多个虚拟机提供了硬件上的便利。TrustZone技术是ARM架构下重要的 安全机制，在移动设备和嵌入式设备中广泛应用。但TrustZone在设计之初就并非 为可信虚拟机服务而设计。原因之一是它在启动之初就将物理内存静态划分为安全 和非安全2个部分，I/O设备也是静态划分为安全和非安全设备。这样的静态划分 给虚拟机的动态创建、扩展、维护、迁移等操作造成了极大的困难。

一种直接的基于TrustZone的安全虚拟机服务的实现方案是在S-EL2重新实现 一个功能丰富的虚拟机监控器。而要重新实现一个功能丰富的虚拟机监控器的代码 量是巨大的，而巨大的代码量带来的是可能存在的安全漏洞数量的大规模增长。例 如KVM/Xen虽然功能丰富，并且久经考验，但代码量巨大且安全漏洞数量多，这对 于可信虚拟机来说是无法接受的安全风险。原因之一在于这样大的代码量又会被视 为这种可信虚拟机设计方案中的可信计算基(TCB)，而TCB的增长势必带来安全漏 洞数量的提升。