第4章
机密虚拟化架构与实现

第3章简要论述了当前业界主流的机密计算技术，如x86体系架构下的SGX、TDX和SEV-SNP，ARM体系下的CCA等。回顾机密计算技术的演进历程，在服务器或者云计算领域会发现一个有趣的现象：无论是x86体系，还是ARM及新兴的RISC-V架构，都提供了基于虚拟化微架构进行机密计算能力扩展的支持。这些技术可以方便地帮助用户将传统的虚拟机应用升级为机密计算应用。基于虚拟化针对机密需求扩展实现的机密计算方案也被称为机密虚拟化，这也是本书的主题。

不同的机密虚拟化技术方案的实现细节不同，但基本理念都是基于虚拟化的微架构扩展机密计算的保护能力，既满足机密计算引入的安全需求，又实现了与传统基于虚拟化的用户应用的兼容。接下来以英特尔的TDX技术为例，剖析机密虚拟化的微架构、指令定义、TCB设计，以及系统软件栈的实现。随着异构加速技术被广泛采用，机密计算需要构建跨越通用处理器及加速器的可信执行环境，本章也探讨了机密虚拟化如何满足异构加速场景下的设备虚拟化的需求。 1HIKrEhMNE8h8XES7Udtth5jrxAeZGJocuvhVE/5ch29K8X7QoP3CgRNTscGjJEk