diff --git a/sig/Hygon Arch/assets/attestation_1.png b/sig/Hygon Arch/assets/attestation_1.png
new file mode 100644
index 0000000000000000000000000000000000000000..dd3adebcfdd2dee4b295b8188a8cdf133210d975
Binary files /dev/null and b/sig/Hygon Arch/assets/attestation_1.png differ
diff --git a/sig/Hygon Arch/assets/attestation_2.png b/sig/Hygon Arch/assets/attestation_2.png
new file mode 100644
index 0000000000000000000000000000000000000000..a2e4261d0075bbc094a932c1c3f7efb48945f4af
Binary files /dev/null and b/sig/Hygon Arch/assets/attestation_2.png differ
diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/2-CSV\350\277\234\347\250\213\350\256\244\350\257\201\346\212\200\346\234\257\344\273\213\347\273\215.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/2-CSV\350\277\234\347\250\213\350\256\244\350\257\201\346\212\200\346\234\257\344\273\213\347\273\215.md"
new file mode 100644
index 0000000000000000000000000000000000000000..94aa3d35c27475fdbd9613be1b62cf881285dc29
--- /dev/null
+++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/2-CSV\350\277\234\347\250\213\350\256\244\350\257\201\346\212\200\346\234\257\344\273\213\347\273\215.md"	
@@ -0,0 +1,104 @@
+测试之前，请参考[2-1-安装CSV软件](https://openanolis.cn/sig/Hygon-Arch/doc/865622260278236994?lang=zh)准备软件环境。
+
+## 概要
+CSV 虚拟机具有远程认证功能，从CSV 虚拟机中获取报告，将报告发送到认证方进行认证，从而确保机密信息是运行在客户可信的平台上。
+
+## 证书链
+为保证认证报告的真实性、完整性和不可否认性，认证报告中包含对报告中部分字段项的签名值。签名密钥为PEK私钥，PEK(Platform Endorsement Key) 是一组 SM2公私钥对，由CSV 固件使用硬件真随机数发生器产生。PEK证书可以被芯片密钥CEK 和硬件所有者密钥 OCA同时签名，以建立起可信证书链。
+
+### 秘钥介绍
+
+#### Platform Diffie-Hellman Key
+Platform Diffie-Hellman key (PDH)是国密SM2公私钥对，用于CSV固件和虚拟机使用者之间进行密钥协商。CSV固件使用硬件真随机数发生器产生PDH，PDH私钥保存于CSV固件中，PDH公钥可从CSV固件中导出，供虚拟机使用者使用。
+虚拟机使用者随机生成主密钥(master secret)，并使用PDH公钥对主密钥加密后传递给CSV固件，CSV固件使用PDH私钥解密得到主密钥，后续CSV固件可使用主密钥派生出其他密钥。
+PDH被PEK签名，如果PEK改变，必须生成新的PDH。PDH在平台的生命周期内不变。
+#### Platform Endorsement Key
+Platform Endorsement Key(PEK)是国密SM2公私钥对，作为平台的身份标识签名PDH证书，同时PEK证书被CEK和OCA签名，这样建立起可信证书链保证PDH证书是合法的。
+CSV固件使用硬件真随机数发生器产生PEK。PEK在平台的生命周期内不变。
+#### Chip Endorsement Key
+Chip Endorsement Key(CEK)是国密SM2公私钥对，作为芯片标识签名PEK证书。CEK由保存在芯片安全fuse中的数据派生，每颗芯片的CEK都不相同，在芯片的生命周期内不变。
+#### Hygon CSV Signing Key
+Hygon CSV Signing Key(HSK) 是国密SM2公私钥对，签名CEK证书。HSK私钥保存在海光专用的HSK签名服务器上。
+#### Hygon Root Key
+Hygon Root Key(HRK) 是国密SM2公私钥对，签名HSK证书。HRK私钥保存在海光专用的HRK签名服务器上。
+#### Owner Certificate Authority
+Owner Certificate Authority(OCA) 是国密SM2公私钥对，是平台所有者的身份标识，签名PEK证书。平台所有者可以是CSV固件或者硬件所有者，如果CSV固件是平台所有者，OCA由CSV固件使用硬件真随机数发生器产生；否则平台所有者将OCA证书导入到CSV固件。
+
+### 证书链构建流程
+CSV 固件初始化时，CSV固件是平台所有者，OCA由CSV固件使用硬件真随机数发生器产生，平台初始化时CEK 和OCA 私钥对PEK 进行签名，构建一套默认和客户无关的海光证书链，由海光确保证书链可信。
+
+如果虚拟机使用者想使用自己的私钥对相关的证书链签名，可使用以下流程：<br>
+![](../../../assets/attestation_2.png)
+
+1、生成OCA公私钥对，使用公私钥对构造OCA自签名证书。<br>
+2、生成PEK证书的签名请求，签名请求中包含PEK 公钥以及其他平台相关信息。<br>
+3、使用OCA私钥将签名请求签名生成PEK证书。<br>
+4、将签名后的PEK和OCA 证书文件导入到固件平台。<br>
+CSV 固件利用芯片密钥CEK对PEK证书进行再次签名。此时PEK证书中包含PEK公钥和2个签名(CEK私钥签名和OCA私钥签名)，实现包含用户私钥签名的可信证书链建立。PEK证书在生成认证报告时被传入报告中。
+
+
+
+## 远程认证报告生成校验
+
+ ![](../../../assets/attestation_1.png)
+### 远程认证报告生成 
+#### 虚拟机摘要值生成
+为了保证系统程序及其运行环境的完整性，虚拟机启动过程中，安全处理器需要对OVMF_CODE.fd、虚拟机内核文件和虚拟机内存文件(initrd)进行度量。<br>
+1、将服务程序放入initrd文件中。<br>
+2、对initrd文件、OVMF_CODE.fd和虚拟机内核镜像文件，利用SM3算法计算虚拟机文件摘要值。<br>
+3、在虚拟机启动时提供虚拟机文件和摘要值，CPU中的安全处理器利用 SM3 算法计算虚拟机文件的摘要并进行完整性检验。<br>
+4、完整性信息校验通过，虚拟机成功启动，在生成认证报告时将此摘要值作为虚拟机摘要值写入认证报告中。<br>
+#### 生成认证报告
+认证报告生成包含如下步骤：<br>
+1、固件将 CSV 虚拟机启动时传入的虚拟机的 ID、版本号信息填入认证报告。<br>
+2、将DH公钥的摘要值以及 MNONCE 填入认证报告，公钥摘要值用来确定启动虚拟机的用户身份， MNONCE用来确保认证报告的唯一性。<br>
+3、将虚拟机摘要值、虚拟机规则、签名密钥、签名算法、PEK证书等信息填入认证报告中。<br>
+4、固件会生成随机数并填写到认证报告的ANONCE 字段，由 ANONCE 对认证报告的00h-BBh和150h-9B3h范围分别进行异或。<br>
+5、利用PEK私钥对认证报告中异或后的部分字段签名并填写到SIG1字段。<br>
+6、利用MNONCE对认证报告中异或后的部分字段计算HMAC并写入到 MAC字段。<br>
+### 远程认证报告校验
+用户端在获取到认证报告后，随即对PEK证书链进行验证，验证通过后进行验签，并校验报告中的其他字段项。
+#### 证书链校验
+PEK证书中包含CEK签名和客户私钥签名两个签名值，CEK证书被HSK（Hygon CSV Signing Key）密钥签名，HSK证书被HRK（Hygon Root Key）密钥签名。用户端需分别对两个签名值的证书链进行校验。<br>
+CEK签名证书链校验流程：<br>
+1、根据认证报告中芯片ID的值，从海光证书服务器下载对应的CEK证书、HSK证书和HRK证书。<br>
+2、使用 HRK 公钥验证 HSK 证书，使用 HSK公钥验证 CEK 证书，使用 CEK 公钥验证 PEK 证书。<br>
+3、验签通过说明PEK证书是由合法的海光芯片中的密钥颁发的。<br>
+同样地，用户端可以使用客户OCA证书中公钥对PEK验签，验证OCA证书链，从而证明该 PEK 证书是由客户可信证书链保证的。
+#### 报告内容校验
+用户在完成PEK证书证书链校验后，对获取到的认证报告内容进行校验，校验过程如下：<br>
+1、获取认证报告中的ANONCE字段值，利用ANONCE字段值对报告的00h-BBh范围进行异或。<br>
+2、利用PEK证书中的公钥完成对认证报告中SIG1值的验签。<br>
+3、根据提前获取到的虚拟机信息、虚拟机摘要值、USERDATA、MNONCE等信息对报告中的相应字段完成校验。校验通过说明是在可信的CSV虚拟机中。
+
+
+### 报告格式
+
+报告输入数据的格式，客户可以定制下面字段的内容
+
+| 偏移 | 比特位 | 输入/输出 |	  名称  | 描述 |
+|----- |-------| ---------|---------|------|
+|00h  |	511:0|	In    | USERDATA| 用户自定义数据 |
+|40h  |	127:0|	In    | MNONCE  | 一次性随机数   |
+|50h  |	255:0|	In    | HASH	 |SM3(USERDATA \|\| MNONCE)|
+
+报告输出数据的格式
+| 偏移 | 比特位 | 输入/输出 |      名称     |	  描述   |
+|-----|--------|----------|---------------|--------------|
+|00h	 |255:0  |    Out   | PUBKEY_DIGEST  | DH公钥的SM3摘要值，用于确认启动虚拟机的用户身份。DH密钥由虚<br>拟机用户生成，用于对虚拟机启动参数进行签名。|
+|20h	 |127:0	|    Out	 | ID	       |虚拟机ID，虚拟机用户自定义。|
+|30h	 |127:0	|    Out   |Version	       |虚拟机版本号，虚拟机用户自定义。|
+|40h	 |511:0	|    Out   |USERDATA	  |用户自定义数据|
+|80h	 |127:0	|    Out   |MNONCE	       |一次性随机数，用于区别报告内容防重放攻击，由虚拟机用户生成。|
+|90h	 |255:0	|    Out   |DIGEST	       |虚拟机的启动摘要，虚拟机initrd文件、OVMF_CODE.fd和虚拟机内核<br>镜像文件的SM3摘要值。|
+|B0h	 |31:0	|    Out   |POLICY	       |虚拟机规则|
+|B4h	 |31:0	|    Out   |SIG_USAGE	  |签名密钥用途 PEK|
+|B8h	 |31:0	|    Out   |SIG_ALGO	  |签名算法 SM2|
+|BCh	 |31:0	|    Out   |ANONCE	       |固件产生的随机数，用于对报告进行混淆处理，防止主机攻击。|
+|C0h	 |1151:0	|    Out	 |SIG1	       |PEK签名|  
+|150h |16671:0	|    Out	 |PEK_CERT	  |平台的PEK证书|
+|974h |511:0	|    Out	 |CHIP_ID	       |芯片ID，字符串|
+|9B4h |255:0	|    Out	 |Reserved2	  |保留字段|
+|9D4h |255:0	|    Out	 |MAC	       |MNONCE完整性保护PEK_CERT \|\| CHIP_ID \|\| Reserved2生成的HMAC|
+
+