From 91add058b10ceb8c7c0808e72ee4a925acf9efdb Mon Sep 17 00:00:00 2001 From: liuzixing Date: Mon, 9 Jun 2025 11:49:30 +0800 Subject: [PATCH] =?UTF-8?q?=E5=A2=9E=E5=8A=A0CSV3=E8=99=9A=E6=8B=9F?= =?UTF-8?q?=E6=9C=BA=E5=AE=89=E5=85=A8=E6=80=A7=E4=BB=8B=E7=BB=8D?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...02\350\246\201\344\273\213\347\273\215.md" | 22 +++++++++++++++++++ 1 file changed, 22 insertions(+) diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/1-CSV3\345\212\240\345\257\206\350\231\232\346\213\237\346\234\272\346\236\266\346\236\204\346\246\202\350\246\201\344\273\213\347\273\215.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/1-CSV3\345\212\240\345\257\206\350\231\232\346\213\237\346\234\272\346\236\266\346\236\204\346\246\202\350\246\201\344\273\213\347\273\215.md" index 465207fb..9d136fd0 100644 --- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/1-CSV3\345\212\240\345\257\206\350\231\232\346\213\237\346\234\272\346\236\266\346\236\204\346\246\202\350\246\201\344\273\213\347\273\215.md" +++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/10-\346\212\200\346\234\257\344\273\213\347\273\215/1-CSV3\345\212\240\345\257\206\350\231\232\346\213\237\346\234\272\346\236\266\346\236\204\346\246\202\350\246\201\344\273\213\347\273\215.md" @@ -46,3 +46,25 @@ CSV3增加了对虚拟机控制信息的保护,安全处理器负责创建VMCB 为更好的与主机操作系统的软件配合,CSV3创建了真实VMCB与影子VMCB页面。主机操作系统创建影子VMCB,填入控制信息,传递给安全处理器。
安全处理器创建真实VMCB页面,复制影子VMCB中除虚拟机ID,虚拟机页表基地址,虚拟机寄存器页面基地址等关键信息之外的控制信息,并自行添加关键控制信息。
虚拟机使用真实VMCB页面启动和运行,阻止了主机操作系统对虚拟机VMCB的攻击。
+ + +#### Virtual Machine Save Aera (VMSA)保护 +Virtual Machine Save Area(VMSA)是安全虚拟机的寄存器信息,保存了虚拟机运行时的各通用寄存器和控制寄存器,以及其他运行时状态等。
+其中的内容对虚拟机的安全性至关重要,必须严格保密。
+ +CSV3虚拟机将VMSA内容配置于内存隔离单元的保护之下,主机操作系统无法读取VMSA内容(VMSA密文不可见),无法更改VMSA内容,有效的阻止了对VMSA的攻击。 +VMSA的创建和初始值配置,通过安全处理器完成,其初始内容包含于远程认证报告中。 +用户可通过工具计算VMSA的初始值,并和远程认证报告对比,确认VMSA初始内容的真实性和正确性。 + + +#### 嵌套页表 (Nested Page Table - NPT)保护 +嵌套页表是安全虚拟机用于映射虚拟机物理地址(Guest Physical Address - GPA)和主机物理地址(Host Physical Address - HPA)的页表, +是内存虚拟化的核心。 + +嵌套页表包含了极其重要的虚拟机内存信息,除了GPA与HPA的映射关系,还包含了虚拟机内存页的Present、RW、Reserved等信息。 +学术界有较多通过控制和操纵嵌套页表攻击虚拟机的研究,保护嵌套页表的机密性和完整性是提升虚拟机安全的重要手段。 + +CSV3虚拟机将嵌套页表配置于内存隔离单元的保护之下,主机操作系统无法读取嵌套页表内容(密文不可见),更无法更改嵌套页表内容,有效的阻止了对嵌套页表的攻击。 +CSV3虚拟机嵌套页表通过安全处理器分配与管理,主机操作系统不参与。 + + -- Gitee