diff --git a/sig/Hygon Arch/assets/dcu_attestation_arch.png b/sig/Hygon Arch/assets/dcu_attestation_arch.png
new file mode 100644
index 0000000000000000000000000000000000000000..b6d057982433adaa2745e5fe184416435d3db6ac
Binary files /dev/null and b/sig/Hygon Arch/assets/dcu_attestation_arch.png differ
diff --git a/sig/Hygon Arch/assets/dcu_attestation_chip.png b/sig/Hygon Arch/assets/dcu_attestation_chip.png
new file mode 100644
index 0000000000000000000000000000000000000000..efe5d1debe0d0c6bd9676e8dc3d72959c49a4e0e
Binary files /dev/null and b/sig/Hygon Arch/assets/dcu_attestation_chip.png differ
diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/3-\350\231\232\346\213\237\346\234\272/4-\346\265\213\350\257\225CSV\350\231\232\346\213\237\346\234\272\347\233\264\351\200\232DCU.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/3-\350\231\232\346\213\237\346\234\272/4-\346\265\213\350\257\225CSV\350\231\232\346\213\237\346\234\272\347\233\264\351\200\232DCU.md"
index 88cbffb19fe0b2c60bade14cc48bd94ab4e03a9b..03447182a92289920fe13e4faa65e1cf7df8e460 100644
--- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/3-\350\231\232\346\213\237\346\234\272/4-\346\265\213\350\257\225CSV\350\231\232\346\213\237\346\234\272\347\233\264\351\200\232DCU.md"
+++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/3-\350\231\232\346\213\237\346\234\272/4-\346\265\213\350\257\225CSV\350\231\232\346\213\237\346\234\272\347\233\264\351\200\232DCU.md"
@@ -53,3 +53,66 @@ $ sudo qemu-system-x86_64 -name csv-vm --enable-kvm -cpu host -m 10240 -hda /opt
# make clean;make
# ./vectoradd_hip.exe
```
+## 测试 DCU Attestation 功能 (DCU远程身份认证功能)
+### 背景
+从深算二号(K100-AI)开始,海光DCU开始支持Attestation(身份认证)功能。
+(DCU驱动版本 rock-kernel-refactory-rock-5.7.1-6.2.26-V1.5.aio.run
+https://cancon.hpccube.com:65024/6/main/latest%E9%A9%B1%E5%8A%A8),
+DCU Attestation的目的是向DCU加速器的使用者证明,正在使用中的DCU设备具有真实身份,
+其芯片ID、固件版本、硬件环境等相关数据皆为真实可信,用户可将机密数据下发到DCU中计算,无需担心数据被恶意的加速器窃取。
+### 机制
+
+ 
+
+ 每一颗DCU芯片拥有唯一的芯片ID(ChipID),在芯片生产时烧入,以后无法更改。
+芯片内置一SM2密钥对(DCEK, DCU Chip Endorsement Key),私钥作为DCU芯片的身份象征,只保存在DCU芯片,永不外泄。
+公钥被HDSK(海光DCU签名密钥)/HRK(海光根密钥)签名后,存放于海光证书系统中,可公开下载。
+
+步骤一:当CSV虚拟机启动完毕后,用户加载DCU驱动识别DCU卡。用户运行Attestation App通过DCU驱动向DCU卡请求远程认证报告。
+DCU卡生成远程认证报告,内容包含DCU芯片ID,固件版本等信息,并使用DCEK私钥签名,返回给用户。
+步骤二:用户从远程认证报告中取出DCU芯片ID,向海光证书系统请求该芯片的DCEK/HDSK/HRK公钥证书。
+步骤三:用户依次验证HRK->HDSK->DCEK证书链的签名,并使用DCEK证书中的公钥验证远程认证报告的签名。
+全部验证过程正确可认为该DCU芯片为真实的海光芯片,报告中的数据真实可信。
+验证过程中任一步失败,则验证过程失败。
+
+海光提供了Attestation App demo,演示了CSV虚拟机用户向DCU请求认证报告、获取认证报告、下载证书链、
+验证远程报告、验证证书链的全过程。该demo程序仅做展示,用户可根据需要修改或重新编写。
+
+### 测试过程
+假设CSV中直通DCU的环境已经搭建完毕,CSV虚拟机能够访问DCU。
+(请依据[4-测试CSV虚拟机直通DCU](https://openanolis.cn/sig/Hygon-Arch/doc/865622222638552866?lang=zh) 搭建环境 )
+
+拷贝主机中的测试程序(/opt/hygon/csv/attestation/)到CSV虚拟机中
+目录中的dcu_attestation_demo文件为演示DCU远程证明的示例程序。
+
+1)如果您的CSV虚拟机能够直接连接海光证书服务器(https://cert.hygon.cn/)
请直接运行
+```
+$./dcu_attestation_demo
+```
+示例程序将自动完成DCU认证过程。
+
+2)如果您的CSV虚拟机无法连接海光证书服务器,则需要手动下载证书后,放置于dcu_attestation_demo程序的所在的目录下,步骤如下:
+2.1)运行demo程序,获取DCU ChipID
+```
+$./dcu_attestation_demo
+```
+该程序会打印出DCU ChipID,并打印证书下载失败的日志后退出。
+
+该DCU的ChipID为”T6N6980002080601”
+
+2.2)在相同目录下,手动下载该芯片的HSK_CEK证书
+```
+$ curl -s -f -o hsk_cek.cert https://cert.hygon.cn/hsk_cek?snumber=T6N6980002080601
+```
+完成后,在运行程序的目录下,生成hsk_cek.cert文件,文件包含HSK证书和CEK证书
+
+2.3)在相同目录下,手动下载HRK证书
+```
+curl -s -f -o ./hrk.cert https://cert.hygon.cn/hrk
+```
+完成后,在运行程序的目录下,生成hrk.cert
+
+2.4)再次运行attestation demo程序,完成DCU身份验证过程
+```
+$./dcu_attestation_demo
+```
\ No newline at end of file