一種虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備的制作方法
【專利摘要】本發(fā)明實施例提供一種虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備,其中�����,該方法在采用ARM?V8架構(gòu)的處理器的異常層級EL3中執(zhí)行��,該方法包括:根據(jù)一個或多個VM的需求�����,生成一個或多個與每個VM對應(yīng)的vTPM實例��,將生成的一個或多個的vTPM實例存儲在預(yù)設(shè)安全空間中����,其中���,每個vTPM實例有專用的實例通信隊列給與其對應(yīng)的VM使用��,每個實例通信隊列分配有物理地址��;通過與VMM以及所述VM交互�,使得VM獲取VM的虛擬地址空間中與vTPM實例的通信隊列物理地址對應(yīng)的VM的通信隊列虛擬地址,并使得VM通過VM的通信隊列虛擬地址與vTPM實例的通信隊列進(jìn)行通信�����;從而減少了時延�,提高了處理效率。
【專利說明】一種虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實施例涉及通信【技術(shù)領(lǐng)域】���,尤其涉及一種虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備���。
【背景技術(shù)】
[0002]可信平臺模塊(Trusted Platform Module,簡稱:TPM)技術(shù)是由可信賴計算組織(Trusted Computing Group,簡稱:TCG)提出,目的是為了防止非法用戶對敏感數(shù)據(jù)進(jìn)行更改����。由于TPM是為了保證平臺的可靠性,因此一個操作系統(tǒng)平臺對應(yīng)一個獨立的TPM?����,F(xiàn)有技術(shù)中��,IBM公司提出了 vTMP方案����,也就是利用一塊獨立于中央處理器(CentralProcessing Unit����,簡稱:CPU)的芯片(例如:安全協(xié)同處理器)來提供類似于TPM的安全特性�,用軟件虛擬出多個虛擬可信平臺模塊(virtual Trusted Platform Module,簡稱:νΤΡΜ),以保證一個虛擬機(jī)(virtual Machine,簡稱:VM)對應(yīng)一個VTPM。當(dāng)運行在VM上的應(yīng)用程序需要調(diào)用νΤΡΜ命令時�����,通過一個代理VM(Pi^xy)�、安全協(xié)處理器驅(qū)動和監(jiān)視器(Hypervisor)的轉(zhuǎn)化和處理,訪問至對應(yīng)的vTMP,實現(xiàn)多個虛擬機(jī)平臺的可信執(zhí)行。
[0003]然而�����,現(xiàn)有技術(shù)中�����,每次訪問vTMP時��,都需要通過安全協(xié)作處理器進(jìn)行轉(zhuǎn)化和處理���,增加時延,處理效率低下�;同時實現(xiàn)νΤΡΜ時需要設(shè)置有一塊硬件處理器�����,造成硬件體積增大���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備,用于減少時延���,提
高處理效率�����。
[0005]第一方面�,本發(fā)明實施例提供一種νΤΡΜ功能實現(xiàn)方法�����,所述方法在采用ARM V8架構(gòu)的處理器的異常層級EL3中執(zhí)行�����,所述方法包括:
[0006]根據(jù)一個或多個虛擬機(jī)VM的需求����,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例����,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中��,其中���,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用���,每個所述實例通信隊列分配有物理地址;
[0007]通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互���,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信���。
[0008]在第一方面的第一種可能的實現(xiàn)方式中���,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,包括:
[0009]向EL2發(fā)送第一查詢請求���,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址�,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述 EL3 ����;[0010]接收所述EL2發(fā)送的所述中間物理地址;
[0011]向ELl發(fā)送第二查詢請求����,所述第二查詢請求包括所述中間物理地址,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表�����,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
[0012]在第一方面的第二種可能的實現(xiàn)方式中���,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,包括:
[0013]向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址���,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表�����,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表����,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地址�。
[0014]結(jié)合第一方面或第一方面的第一種可能的實現(xiàn)方式或第一方面的第二種可能的實現(xiàn)方式,在第一方面的第三種可能的實現(xiàn)方式中�,所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信,包括:
[0015]所述VM根據(jù)所述VM的通信隊列虛擬地址,通過所述νΤΡΜ實例的通信隊列向所述νΤΡΜ實例發(fā)送νΤΡΜ命令���,以使所述νΤΡΜ實例根據(jù)νΤΡΜ命令進(jìn)行處理�,并將處理結(jié)果通過所述νΤΡΜ實例的通信隊列反饋給所述VM �;
[0016]所述VM根據(jù)所述VM的通信隊列虛擬地址,通過所述νΤΡΜ實例的通信隊列讀取所述νΤΡΜ命令的處理結(jié)果�。
[0017]第二方面,本發(fā)明實施例提供一種νΤΡΜ管理設(shè)備���,所述νΤΡΜ管理設(shè)備在采用ARMV8架構(gòu)的處理器的異常層級EL3中執(zhí)行�,所述νΤΡΜ管理設(shè)備包括:
[0018]生成單元����,用于根據(jù)一個或多個虛擬機(jī)VM的需求,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例�;
[0019]存儲單元,用于將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中�,其中,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用�,每個所述實例通信隊列分配有物理地址;
[0020]交互單元����,用于通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通?目。
[0021]在第二方面的第一種可能的實現(xiàn)方式中�,所述交互單元具體用于向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址����,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址����;向ELl發(fā)送第二查詢請求,所述第二查詢請求包括所述中間物理地址���,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表�,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地址����。
[0022]在第二方面的第二種可能的實現(xiàn)方式中,所述交互單元具體用于向EL2發(fā)送第一查詢請求����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表���,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表����,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
[0023]第三方面�����,本發(fā)明實施例提供一種νΤΡΜ管理設(shè)備����,包括:基于ARM V8架構(gòu)的處理器和存儲器����;所述存儲器中存儲有所述處理器運行所需的代碼�,所述處理器用于讀取所述存儲器中所述的代碼�,在異常層級EL3中執(zhí)行如下方法:
[0024]根據(jù)一個或多個虛擬機(jī)VM的需求,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例����,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中,其中�,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用,每個所述實例通信隊列分配有物理地址�����;
[0025]通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互���,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址���,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信。
[0026]在第三方面的第一種可能的實現(xiàn)方式中��,所述處理器通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,包括:
[0027]所述處理器向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址���,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表��,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址��;向ELl發(fā)送第二查詢請求��,所述第二查詢請求包括所述中間物理地址�,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表���,確定與所述中間物理地址對應(yīng)的虛擬地址��;所述確定的虛擬地址為所述VM的通信隊列虛擬地址��。
[0028]在第三方面的第二種可能的實現(xiàn)方式中��,所述處理器通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址��,包括:
[0029]所述處理器向EL2發(fā)送第一查詢請求�����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址�,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址�。
[0030]本發(fā)明實施例提供的虛擬可信平臺模塊功能實現(xiàn)方法和管理設(shè)備,通過根據(jù)一個或多個虛擬機(jī)VM的需求�,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中�����,其中�����,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用���,每個所述實例通信隊列分配有物理地址�����;通過與VMM以及所述VM交互�,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信�。本實施例通過軟件來實現(xiàn)νΤΡΜ實例,不需要設(shè)置硬件處理器����,降低了硬件體積和成本,同時VM可以通過通信隊列直接向νΤΡΜ實例傳輸νΤΡΜ命令��,不需要通過Hypervisor和代理VM進(jìn)行轉(zhuǎn)化和處理���,減少了時延���,提高了處理效率。
【專利附圖】
【附圖說明】
[0031]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹��,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0032]圖1為本發(fā)明提供的基于ARM V8處理器的硬件的結(jié)構(gòu)示意圖�;
[0033]圖2為本發(fā)明提供的ARM V8架構(gòu)的示意圖���;
[0034]圖3為本發(fā)明νΤΡΜ功能實現(xiàn)方法實施例一的流程圖��;
[0035]圖4為本發(fā)明νΤΡΜ功能實現(xiàn)方法的一種應(yīng)用場景示意圖�;
[0036]圖5為本發(fā)明νΤΡΜ管理設(shè)備實施例一的結(jié)構(gòu)不意圖����;
[0037]圖6為本發(fā)明νΤΡΜ管理設(shè)備實施例二的結(jié)構(gòu)示意圖。
【具體實施方式】
[0038]為使本發(fā)明實施例的目的���、技術(shù)方案和優(yōu)點更加清楚��,下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚���、完整地描述,顯然��,所描述的實施例是本發(fā)明一部分實施例�,而不是全部的實施例?�;诒景l(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護(hù)的范圍。
[0039]用于執(zhí)行本發(fā)明νΤΡΜ功能實現(xiàn)方法的νΤΡΜ管理設(shè)備可以集成在ARMV8處理器中�,ARM V8處理器的一種應(yīng)用場景如圖1所示,圖1所示的硬件包括:ARM V8處理器���、非易失存儲器(例如Flash)��、易失存儲器(例如DDR)����、一次性可編程存儲器(例如0PT/FUST)、算法加速引擎(例如:SEC/RSA)����、靜態(tài)隨機(jī)存儲器(Static Random Access Memory,簡稱:SRAM)和只讀內(nèi)存(Read-Only Memory,簡稱:ROM)����。ARM V8處理器用于主控制,易失存儲器和非易失存儲器分別用于存儲掉電丟失及掉電不丟失的數(shù)據(jù)��,一次性可編程存儲器用于存儲不可更改且保密的數(shù)據(jù)���,算法加速引擎為各種加解密操作提供算法����,圖1所示的硬件還可以包括顯示控制器��、鍵盤等設(shè)備(未示出)�����。需要說明的是�����,ARM V8處理器為基于ARM V8架構(gòu)的處理器�,圖2為本發(fā)明提供的ARM V8架構(gòu)的示意圖,如圖2所示����,ARM V8架構(gòu)提出了異常層級(Exception Level,簡稱:EL)的概念��,將運行階段分為EL0-EL3��。其中�,應(yīng)用程序(Application,簡稱:APP)運行在ELO中,VM運行在ELl中�����,虛擬機(jī)監(jiān)控器(virtual MachineMonitor,簡稱:VMM)或者Hypervisor (監(jiān)視器)運行在EL2中�����,νΤΡΜ管理設(shè)備(manager)和νΤΡΜ運行在EL3中。其中���,EL3具有最高的特權(quán)�����,以及享有最高級別的安全特性�����,EL3是(PU上電最先運行的�,其余層級可以通過發(fā)生異常進(jìn)行EL3���。值得注意的是�����,本發(fā)明提供的νΤΡΜ功能實現(xiàn)方法在采用ARM V8架構(gòu)的處理器的EL3中執(zhí)行��,可以通過配置一些寄存器使得處理器進(jìn)入EL3���,此為現(xiàn)有技術(shù),此處不再贅述��。
[0040]圖3為本發(fā)明νΤΡΜ功能實現(xiàn)方法實施例一的流程圖��,如圖3所示�,本實施例的執(zhí)行主體為νΤΡΜ管理設(shè)備,νΤΡΜ管理設(shè)備在采用ARM V8架構(gòu)的處理器的EL3中執(zhí)行����,本實施例的方法可以包括:
[0041]SlOl、根據(jù)一個或多個VM的需求���,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例�����,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中���,其中,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用�����,每個所述實例通信隊列分配有物理地址�����。
[0042]本實施例中,在一個或多個VM創(chuàng)建之后����,每個VM會下發(fā)該VM的需求,從而νΤΡΜ管理設(shè)備(manager)會接收到該一個或多個VM下發(fā)的需求,然后νΤΡΜ管理設(shè)備根據(jù)接收到的該一個或多個VM的需求�,生成一個或多個與每個VM對應(yīng)的νΤΡΜ實例,即生成的每一個νΤΡΜ實例與一個VM——對應(yīng)��,由于生成νΤΡΜ實例的過程在處理器內(nèi)部執(zhí)行�����,并沒有專用的TPM硬件芯片�����,因為�,這個νΤΡΜ實例為軟件TPM。但其功能與硬件TPM類似����,例如,都完成對數(shù)據(jù)的加解密等TPM中定義的功能��。然后將生成的νΤΡΜ實例存儲于預(yù)設(shè)安全空間中�����,即νΤΡΜ管理設(shè)備采用純軟件實現(xiàn)的νΤΡΜ實例可以模擬硬件ΤΡΜ��,以實現(xiàn)TPM的功能�����,這樣可以不用專門設(shè)置一個硬件處理器來實現(xiàn)TPM的功能�����,降低了硬件體積和成本�����;同時將生成的νΤΡΜ實例存儲于預(yù)設(shè)安全空間中����,由于ARM V8架構(gòu)中的EL3具有最高級別的安全特性,ARM V8架構(gòu)中支持安全空間的配置�,因此,vTPM manager可以配置一些內(nèi)存空間為安全屬性����,這些內(nèi)存空間運行于EL3中����,即vTPM manager配置了預(yù)設(shè)安全空間�����,也可以將一些寄存器設(shè)定為要配置的預(yù)設(shè)安全空間����,然后將vTPM實例存儲至該配置的預(yù)設(shè)安全空間中,從而可以利用處理器內(nèi)部的安全特性來保護(hù)vTPM實例����,使得vTPM實例不容易被惡意代碼攔截破壞,提高了安全性��。
[0043]本實施例中,VTPM manager在生成vTPM實例之后,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用�,每個所述實例通信隊列分配有物理地址。
[0044]假設(shè)ARM V8處理器中存在有兩個VM��,分別為VMl和VM2�,若VMl需要兩個νΤΡΜ實例與其對應(yīng),若VM2需要三個νΤΡΜ實現(xiàn)與其對應(yīng)����,那么可以生成5個νΤΡΜ實例�,兩個νΤΡΜ實例與VMl對應(yīng)�����,三個νΤΡΜ實例與VM2對應(yīng)����,例如:νΤΡΜ實例1�、vTPM實例3與VMl對應(yīng),νΤΡΜ實例2��、νΤΡΜ實例4��、νΤΡΜ實例5與VM2對應(yīng)��,并且�,νΤΡΜ實例I提供專用的實例通信隊列(例如實例通信隊列I)給VMl使用,νΤΡΜ實例2提供專用的實例通信隊列(例如實例通信隊列2)給VM2使用����,νΤΡΜ實例3提供專用的實例通信隊列(例如實例通信隊列3)給VMl使用,νΤΡΜ實例4提供專用的實例通信隊列(例如實例通信隊列4)給VM2使用��,νΤΡΜ實例5提供專用的實例通信隊列(例如實例通信隊列5)給VM2使用�����。實例通信隊列用于νΤΡΜ實例與VM之間的通信。
[0045]S102����、通過與VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�����,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信��。
[0046]圖4為本發(fā)明νΤΡΜ功能實現(xiàn)方法的一種應(yīng)用場景示意圖����,如圖4所示,EL2中保存有中間物理地址與物理地址的映射表���,即如圖4中的中間物理地址〈_>物理地址的映射表��,例如:物理地址0x1100映射中間物理地址0x8000���,物理地址0x2100映射中間物理地址0x9000 ;EL1中保存有虛擬地址與中間物理地址的映射表,即如圖4中的虛擬地址〈->中間物理地址的映射表,例如:中間物理地址0x8000映射虛擬地址0x4000���,中間物理地址0x9000映射虛擬地址0x5000����。
[0047]基于上述保存的映射表��,當(dāng)EL3分配vTPM實例的通信隊列的物理地址后��,就可以通過上述兩個映射表一步步反推��,最終得到物理地址與虛擬地址之間的映射關(guān)系�。如圖4中的EL3所示����,虛擬框用于標(biāo)識與物理地址對應(yīng)的虛擬地址。
[0048]具體的�����,可以通過下面幾種方式來得到物理地址與虛擬地址之間的映射關(guān)系��。
[0049]在第一種可行的實現(xiàn)方式中����,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互���,使得所述VM獲取所述VM的虛擬地址空間中與所述vTPM實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址,包括:向EL2發(fā)送第一查詢請求��,所述第一查詢請求包括所述vTPM實例的通信隊列物理地址��,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表����,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址;向ELl發(fā)送第二查詢請求�,所述第二查詢請求包括所述中間物理地址,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表����,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地址����。
[0050]具體地,在EL3中可以預(yù)先獲知各νΤΡΜ實例的通信隊列物理地址����,以νΤΡΜ實例的通信隊列物理地址為0x1100為例���,將該0x1100攜帶在第一查詢請求中可以通過EL3與EL2之間的一個查詢接口發(fā)送給EL2, VMM/Hypervisor位于EL2中,該第一查詢請求用于請求0x1100所映射的中間物理地址����,EL2再根據(jù)物理地址為0x1100和物理地址與中間物理地址的映射表,確定0x1100映射的中間物理地址為0x8000�,然后再將確定的中間物理地址返回;從而本實施例的vTPM管理設(shè)備可以接收到EL2發(fā)送的中間物理地址0x8000�,并將接收到的該0x8000攜帶在第二查詢請求中可以通過EL3與ELl之間的一個查詢接口發(fā)送給EL1,該第二查詢請求用于請求0x8000所映射的虛擬地址��,ELl再根據(jù)中間物理地址為0x8000和中間物理地址與虛擬地址的映射表�����,確定0x8000映射的虛擬地址為0x4000����,由于VM位于ELl中��,從而VM可以確定該VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址0x1100對應(yīng)的該VM的通信隊列虛擬地址為0x4000����。
[0051]在第二種可行的實現(xiàn)方式中,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址���,包括:向EL2發(fā)送第一查詢請求���,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表��,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址���;所述確定的虛擬地址為所述VM的通信隊列虛擬地址�����。
[0052]具體地�����,在EL3中可以預(yù)先獲知各νΤΡΜ實例的通信隊列物理地址���,以νΤΡΜ實例的通信隊列物理地址為0x2100為例,將該0x2100攜帶在第一查詢請求中可以通過EL3與EL2之間的一個查詢接口發(fā)送給EL2�,該第一查詢請求用于請求0x2100所映射的中間物理地址,EL2再根據(jù)物理地址為0x2100和物理地址與中間物理地址的映射表�,確定0x2100映射的中間物理地址為0x9000�,然后再將確定的中間物理地址0x9000攜帶在第二查詢請求中可以通過EL2與ELl之間的一個查詢接口發(fā)送給ELl����,該第二查詢請求用于請求0x9000所映射的虛擬地址,ELl再根據(jù)中間物理地址為0x9000和中間物理地址與虛擬地址的映射表�,確定0x9000映射的虛擬地址為0x5000,由于VM位于ELl中���,從而VM可以確定該VM的虛擬地址空間中與所述vTPM實例的通信隊列物理地址0x2100對應(yīng)的該VM的通信隊列虛擬地址為0x5000����。
[0053]可選地����,所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信,包括:所述VM根據(jù)所述VM的通信隊列虛擬地址���,通過所述νΤΡΜ實例的通信隊列向所述νΤΡΜ實例發(fā)送νΤΡΜ命令����,以使所述νΤΡΜ實例根據(jù)νΤΡΜ命令進(jìn)行處理��,并將處理結(jié)果通過所述νΤΡΜ實例的通信隊列反饋給所述VM ;所述VM根據(jù)所述VM的通信隊列虛擬地址����,通過所述νΤΡΜ實例的通信隊列讀取所述νΤΡΜ命令的處理結(jié)果。
[0054]在實施例中����,在各VM獲取該VM的虛擬地址空間中與與其對應(yīng)的νΤΡΜ實例的通信隊列物理地址對應(yīng)的該VM的通信隊列虛擬地址之后,VM可以通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信����;從而傳輸?shù)摩挺肠宝畈恍枰?jīng)過轉(zhuǎn)化和處理。
[0055]具體地���,VM可以根據(jù)通信隊列虛擬地址��,通過νΤΡΜ實例的通信隊列向所述νΤΡΜ實例發(fā)送νΤΡΜ命令��,以使所述νΤΡΜ實例根據(jù)νΤΡΜ命令進(jìn)行處理���,并將處理結(jié)果通過所述νΤΡΜ實例的通信隊列反饋給所述VM ;所述VM根據(jù)所述νΤΡΜ實例的通信隊列虛擬地址,通過所述νΤΡΜ實例的通信隊列讀取所述νΤΡΜ命令的處理結(jié)果���。例如:VM1可以根據(jù)與vTPM實例I對應(yīng)的VMl的通信隊列虛擬地址����,通過該νΤΡΜ實例I的通信隊列向νΤΡΜ實例I發(fā)送νΤΡΜ命令,νΤΡΜ實例I接收到該νΤΡΜ命令后�,根據(jù)該νΤΡΜ命令進(jìn)行處理,然后將處理結(jié)果通過該νΤΡΜ實例I的通信隊列反饋給VMl ;VM1根據(jù)該VMl的通信隊列虛擬地址���,通過該vTPM實例I的通信隊列讀取νΤΡΜ命令的處理結(jié)果���。VM2可以根據(jù)與νΤΡΜ實例2對應(yīng)的VM2的通信隊列虛擬地址,通過該νΤΡΜ實例2的通信隊列向νΤΡΜ實例2發(fā)送νΤΡΜ命令��,νΤΡΜ實例2接收到該νΤΡΜ命令后�����,根據(jù)該νΤΡΜ命令進(jìn)行處理����,然后將處理結(jié)果通過該VTPM實例2所提供的通信隊列反饋給VM2 ;VM2根據(jù)該VM2的通信隊列虛擬地址���,通過該vTPM實例2的通信隊列讀取νΤΡΜ命令的處理結(jié)果��。其中�����,νΤΡΜ命令的處理結(jié)果可以為加密敏感數(shù)據(jù)的結(jié)果或者解密結(jié)果�����,本實施例對此不做限制��。
[0056]本發(fā)明實施例提供的νΤΡΜ功能實現(xiàn)方法�,通過根據(jù)一個或多個虛擬機(jī)VM的需求���,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例���,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中,其中�,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用,每個所述實例通信隊列分配有物理地址�;通過與VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址����,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信。本實施例通過軟件來實現(xiàn)νΤΡΜ實例��,不需要設(shè)置硬件處理器�,降低了硬件體積和成本�,同時VM可以通過通信隊列直接向νΤΡΜ實例傳輸νΤΡΜ命令����,不需要通過Hypervisor和代理VM進(jìn)行轉(zhuǎn)化和處理,減少了時延,提高了處理效率。
[0057]圖5為本發(fā)明vTPM管理設(shè)備實施例一的結(jié)構(gòu)示意圖����,如圖5所示,本實施例的VTPM manager在采用ARM V8架構(gòu)的處理器的EL3中執(zhí)行����,本實施例的VTPM manager可以包括:生成單元11、存儲單元12和交互單元13���,其中�����,生成單元11用于根據(jù)一個或多個虛擬機(jī)VM的需求����,生成一個或多個與每個所述VM對應(yīng)的vTPM實例�����;存儲單元12用于將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中,其中�,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用,每個所述實例通信隊列分配有物理地址���;交互單元13用于通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�����,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信��。
[0058]可選地�����,交互單元13具體用于向EL2發(fā)送第一查詢請求����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表��,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址��;向ELl發(fā)送第二查詢請求,所述第二查詢請求包括所述中間物理地址����,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址�;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
[0059]可選地��,交互單元13具體用于向EL2發(fā)送第一查詢請求�,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表���,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址���;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
[0060]本實施例的VTPM manager,可以用于執(zhí)行本發(fā)明上述方法實施例的技術(shù)方案,其實現(xiàn)原理和技術(shù)效果類似�,此處不再贅述。
[0061]圖6為本發(fā)明νΤΡΜ管理設(shè)備實施例二的結(jié)構(gòu)示意圖�����,如圖6所示���,本實施例的νΤΡΜ管理設(shè)備可以包括:處理器21��、存儲器22�����,處理器21為基于ARM V8架構(gòu)的處理器���;處理器21與存儲器22可以通過總線連接��,本實施例的νΤΡΜ管理設(shè)備還可以包括一些外部設(shè)備,如外部設(shè)備23和外部設(shè)備24 ;存儲器22中存儲有處理器21運行所需的代碼�����,處理器21用于讀取存儲器22中所述的代碼���,在異常層級EL3中執(zhí)行如下方法:
[0062]根據(jù)一個或多個虛擬機(jī)VM的需求�,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例����,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中,其中�,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用,每個所述實例通信隊列分配有物理地址�;
[0063]通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信����。
[0064]可選地,處理器21通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,包括:
[0065]處理器21向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址�����,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址���;向ELl發(fā)送第二查詢請求���,所述第二查詢請求包括所述中間物理地址,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表���,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
[0066]可選地��,處理器21通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互��,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�,包括:
[0067]處理器21向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址��,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表�����,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址����。
[0068]本實施例的νΤΡΜ管理設(shè)備,可以用于執(zhí)行本發(fā)明上述方法實施例的技術(shù)方案����,其實現(xiàn)原理和技術(shù)效果類似�,此處不再贅述�����。
[0069]本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述各方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�。前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中。該程序在執(zhí)行時���,執(zhí)行包括上述各方法實施例的步驟���;而前述的存儲介質(zhì)包括:R0M、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)��。
[0070]最后應(yīng)說明的是:以上各實施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制�����;盡管參照前述各實施例對本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改�,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換�����;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍����。
【權(quán)利要求】
1.一種虛擬可信平臺模塊VTPM功能實現(xiàn)方法,其特征在于��,所述方法在采用ARM V8架構(gòu)的處理器的異常層級EL3中執(zhí)行��,所述方法包括: 根據(jù)一個或多個虛擬機(jī)VM的需求����,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例��,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中,其中��,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用���,每個所述實例通信隊列分配有物理地址�����; 通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�����,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址��,包括: 向EL2發(fā)送第一查詢請求����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表���,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 �����; 接收所述EL2發(fā)送的所述中間物理地址��; 向ELl發(fā)送第二查 詢請求�,所述第二查詢請求包括所述中間物理地址����,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址�����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互���,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址,包括: 向EL2發(fā)送第一查詢請求�����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址���,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表�,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 �����;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表����,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地址��。
4.根據(jù)權(quán)利要求1-3任意一項所述的方法,其特征在于����,所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信,包括: 所述VM根據(jù)所述VM的通信隊列虛擬地址,通過所述νΤΡΜ實例的通信隊列向所述νΤΡΜ實例發(fā)送νΤΡΜ命令�����,以使所述νΤΡΜ實例根據(jù)νΤΡΜ命令進(jìn)行處理��,并將處理結(jié)果通過所述νΤΡΜ實例的通信隊列反饋給所述VM ��; 所述VM根據(jù)所述VM的通信隊列虛擬地址����,通過所述νΤΡΜ實例的通信隊列讀取所述νΤΡΜ命令的處理結(jié)果。
5.一種虛擬可信平臺模塊νΤΡΜ管理設(shè)備�����,其特征在于���,所述νΤΡΜ管理設(shè)備在采用ARMV8架構(gòu)的處理器的異常層級EL3中執(zhí)行�����,所述νΤΡΜ管理設(shè)備包括: 生成單元���,用于根據(jù)一個或多個虛擬機(jī)VM的需求,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例����;存儲單元,用于將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中���,其中����,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用�,每個所述實例通信隊列分配有物理地址; 交互單元���,用于通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址����,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通?目。
6.根據(jù)權(quán)利要求5所述的νΤΡΜ管理設(shè)備�����,其特征在于����,所述交互單元具體用于向EL2發(fā)送第一查詢請求,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址�����,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表���,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址��;向ELl發(fā)送第二查詢請求����,所述第二查詢請求包括所述中間物理地址����,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地址����。
7.根據(jù)權(quán)利要求5所述的νΤΡΜ管理設(shè)備�,其特征在于�����,所述交互單元具體用于向EL2發(fā)送第一查詢請求�,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址�,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表,確定與所述νΤΡ Μ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 �;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址�;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
8.—種虛擬可信平臺模塊νΤΡΜ管理設(shè)備�,包括:基于ARM V8架構(gòu)的處理器和存儲器;所述存儲器中存儲有所述處理器運行所需的代碼�,所述處理器用于讀取所述存儲器中所述的代碼,在異常層級EL3中執(zhí)行如下方法: 根據(jù)一個或多個虛擬機(jī)VM的需求�����,生成一個或多個與每個所述VM對應(yīng)的νΤΡΜ實例��,將所述生成的一個或多個的νΤΡΜ實例存儲在預(yù)設(shè)安全空間中��,其中,每個所述νΤΡΜ實例有專用的實例通信隊列給與其對應(yīng)的VM使用���,每個所述實例通信隊列分配有物理地址��; 通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互�����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址��,并使得所述VM通過所述VM的通信隊列虛擬地址與所述νΤΡΜ實例的通信隊列進(jìn)行通信���。
9.根據(jù)權(quán)利要求8所述的νΤΡΜ管理設(shè)備,其特征在于����,所述處理器通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址�����,包括: 所述處理器向EL2發(fā)送第一查詢請求��,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址���,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表���,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給所述EL3 ;接收所述EL2發(fā)送的所述中間物理地址��;向ELl發(fā)送第二查詢請求��,所述第二查詢請求包括所述中間物理地址���,以使所述ELl根據(jù)所述第二查詢請求和存儲在所述ELl中的中間物理地址與虛擬地址的映射表��,確定與所述中間物理地址對應(yīng)的虛擬地址����;所述確定的虛擬地址為所述VM的通信隊列虛擬地址。
10.根據(jù)權(quán)利要求8所述的VTPM管理設(shè)備�,其特征在于,所述處理器通過與虛擬機(jī)監(jiān)控器VMM以及所述VM交互����,使得所述VM獲取所述VM的虛擬地址空間中與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的所述VM的通信隊列虛擬地址,包括: 所述處理器向EL2發(fā)送第一查詢請求�����,所述第一查詢請求包括所述νΤΡΜ實例的通信隊列物理地址,以使所述EL2根據(jù)所述第一查詢請求和存儲在所述EL2中的物理地址與中間物理地址的映射表�,確定與所述νΤΡΜ實例的通信隊列物理地址對應(yīng)的中間物理地址并發(fā)送給EL3 ;以使所述ELl根據(jù)所述中間物理地址與存儲在所述ELl中的中間物理地址與虛擬地址的映射表,確定與所述中間物理地址對應(yīng)的虛擬地址;所述確定的虛擬地址為所述VM的通信隊列虛擬地 址����。
【文檔編號】G06F9/54GK103995732SQ201410226504
【公開日】2014年8月20日 申請日期:2014年5月26日 優(yōu)先權(quán)日:2014年5月26日
【發(fā)明者】陳丹, 王偉, 沈鋼綱 申請人:華為技術(shù)有限公司