virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

本文提出了名为 virtCCA 的架构，利用现有的 Arm TrustZone 技术（支持 S-EL2 及更早平台）虚拟化实现 Arm 机密计算架构（CCA），通过构建完整的软件固件栈在真实服务器上验证了其在兼容 CCA 规范的同时具备可接受的运行开销。

要点

这篇论文介绍了一个名为 virtCCA 的技术，它的核心目标可以用一个生动的比喻来理解：在旧房子里盖出“金库”级别的保险室。

1. 背景：为什么我们需要这个？

想象一下，现在的云计算就像是一个巨大的共享公寓楼。

• 普通租户（普通虚拟机）：住在普通房间里，虽然方便，但如果房东（云服务商）不靠谱，或者隔壁邻居（恶意软件）想偷看，你的隐私数据（比如密码、银行信息）就可能泄露。
• Arm 的新方案（CCA）：Arm 公司最近推出了一种全新的建筑标准（Armv9 架构），承诺给每个租户建一个独立的、防弹的“金库房间”（Realm/机密虚拟机 CVM）。在这个房间里，连房东（hypervisor）都进不去，只能看着你操作，绝对安全。

但是，问题出现了：
这种“金库房间”需要全新的硬件（新芯片）才能建。而新芯片从设计到量产，再到被云厂商大规模采购，通常需要好几年。

• 现状：现在市面上已经部署了成千上万台旧的 Arm 服务器（比如 AWS Graviton 早期版本），它们没有这个“金库”功能。
• 痛点：难道我们要等几年，或者扔掉这些旧服务器重新买新的吗？这太浪费了，而且等不起。

2. 解决方案：virtCCA 是什么？

virtCCA 就是那个“魔法改造包”。

它利用旧服务器里原本就有的一个老功能——TrustZone（可以理解为旧服务器里原本就有一个“保安室”），通过巧妙的软件设计，硬是在旧服务器上模拟出了 Arm 新标准里那种“金库房间”的效果。

它的核心魔法在于：

• 旧瓶装新酒：它让旧的服务器（无论是支持新特性的 S-EL2 版本，还是完全老旧的版本）都能运行“金库房间”。
• 完全兼容：它假装自己就是那个新的“金库标准”。对于运行在里面的软件（比如 Linux 系统、数据库）来说，它们完全感觉不到自己是在旧硬件上，以为自己在最新的 Arm 芯片上。这意味着你不需要修改任何应用程序代码。

3. 它是如何工作的？（生活中的类比）

为了让你更明白，我们把服务器比作一个繁忙的火车站：

• 正常世界（Normal World）：是火车站的候车大厅。这里人山人海，有各种各样的旅客（普通程序），也有负责调度的站长（Hypervisor/宿主机）。站长虽然有权管理，但他并不完全可信，万一站长是个内鬼，或者被黑客控制了，大厅里的旅客数据就不安全了。
• 安全世界（Secure World）：是火车站里原本就有的一个VIP 贵宾室（TrustZone）。以前，这个贵宾室只用来处理一些简单的、高安全性的任务（比如指纹验证），不能住人（不能运行完整的操作系统）。

virtCCA 的改造方案：

1. 把贵宾室变成“金库套房”：
   virtCCA 把这个 VIP 贵宾室彻底改造，变成了可以住人的“金库套房”（CVM）。
2. 设立“守门人”（TMM）：
   在贵宾室门口，virtCCA 安排了一个绝对忠诚的守门人（TMM，TrustZone Management Monitor）。
   • 站长（Hypervisor）：虽然还在大厅里管着整个车站的调度（分配资源、启动/关闭房间），但他进不去贵宾室。
   • 守门人（TMM）：他是唯一能进出贵宾室的人。站长想给贵宾室送东西（比如内存、设备），必须通过守门人。守门人会严格检查，确保站长不会偷偷把隔壁房间的东西塞进来，也不会让贵宾室的人乱跑。
3. 两种模式（应对不同年代的服务器）：
   • 新式服务器（S-EL2 支持）：守门人住在贵宾室楼上的专属办公室（S-EL2 级别），管理起来非常高效，就像有专用电梯。
   • 老式服务器（无 S-EL2）：守门人住在保安室（EL3 级别）。虽然离得远一点，但他通过一套复杂的“传话系统”（软件模拟），依然能完美地管理贵宾室，甚至因为省去了中间层，在某些情况下跑得比新式服务器还快！

4. 为什么它很厉害？

• 省钱省力：不需要扔掉旧服务器，直接通过软件升级就能用上最先进的安全技术。
• 兼容性强：就像给旧手机装了一个“新系统皮肤”，里面的 App（数据库、Web 服务器等）完全不用改，直接就能跑。
• 性能不错：论文测试发现，虽然多了一层“守门人”检查，但速度损失很小（大部分情况下损失不到 30%，有些甚至因为去掉了多余的虚拟化步骤，比原来的普通模式还快）。

5. 总结

virtCCA 就像是给旧服务器穿上了一层“隐形防弹衣”。

它利用旧硬件里原本沉睡的“保安功能”，通过精妙的软件设计，让那些没有最新硬件支持的旧服务器，也能拥有和未来最新芯片一样强大的数据保密能力。这让云厂商可以立即在现有的设备上部署机密计算，而不必苦等几年后的新硬件上市。

一句话概括：它让旧服务器也能拥有“金库”级别的安全，而且不需要换硬件，只需换个“守门人”软件。

技术摘要

这篇论文提出了一种名为 virtCCA 的架构，旨在利用现有的 Arm TrustZone 硬件技术，在缺乏原生 Arm CCA（Confidential Compute Architecture，机密计算架构）硬件支持的平台上实现机密虚拟机（CVM）。

以下是对该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 背景： Arm 在 Armv9-A 架构中引入了 CCA，通过“Realm 世界”支持机密虚拟机（CVM），将敏感数据与不可信的“正常世界”（Normal World）隔离。这是机密计算的重要发展方向。
• 痛点：
  • 硬件滞后： 支持 CCA 的商用硬件（如 Armv9）尚未普及，且需要数年时间才能大规模部署。
  • 遗留设备： 大量现有的 Arm 服务器（如 AWS Graviton, Google Tau T2A）基于旧架构，不支持 CCA 硬件特性，但仍有巨大的机密计算需求。
  • 软件生态断层： 现有的 CVM 软件栈（如 Guest Kernel, KVM, RMM）是为 CCA 硬件设计的，无法直接在旧硬件上运行。
  • 现有方案局限： 现有的基于 TrustZone 的 TEE 方案（如 Twinvisor）通常仅支持 S-EL2（Secure EL2）硬件，且缺乏对 CCA 接口标准的兼容性，难以复用现有的 CCA 软件生态。

2. 核心方法论 (Methodology)

virtCCA 的核心思想是在 TrustZone 的“安全世界”（Secure World）中虚拟化 CCA，将不可信的管理程序（Hypervisor）完全置于正常世界，而将 CVM 运行在安全世界中。

2.1 架构设计

• 运行环境：
  • 正常世界 (Normal World)： 运行不可信的主机 Hypervisor（KVM），负责 CVM 的生命周期管理（创建、销毁、资源分配决策）。
  • 安全世界 (Secure World)： 运行 CVM 和 TMM (TrustZone Management Monitor)。TMM 充当参考监视器（Reference Monitor），负责强制执行 CVM 之间的隔离，并管理 CVM 的内存和状态。
• 双模式支持：
  • virtCCA-SEL2： 针对支持 S-EL2 的 Armv8.4+ 平台。TMM 运行在 S-EL2 级别，利用硬件支持的 Stage-2 页表进行内存隔离。
  • virtCCA-EL3： 针对不支持 S-EL2 的旧平台。TMM 运行在 EL3 级别（作为 ATF 的一部分），通过软件模拟虚拟化功能（如中断注入、MMIO 访问），并利用写保护页表来实现 CVM 间的隔离。

2.2 关键机制

1. 内存隔离与管理：

   • 跨世界隔离： 利用 TZASC（TrustZone Address Space Controller）将物理内存划分为安全区和非安全区。
   • CVM 间隔离：
     • 在 SEL2 模式下，TMM 管理 CVM 的 Stage-2 页表。
     • 在 EL3 模式下，由于缺乏硬件 Stage-2 支持，TMM 将 CVM 的页表设为只读，拦截并审计所有页表修改尝试。
   • 内存分配策略： TMM 内部实现了简化的 Buddy 和 Slab 内存分配器，负责管理安全内存。采用NUMA 亲和性策略，优先将内存分配给 CVM 所在的 NUMA 节点，提升性能。
   • 接口兼容性： 定义了 TMI (TrustZone Management Interface) 和 TSI (TrustZone Service Interface)。这些接口在 API 层面与 CCA 的 RMI (Realm Management Interface) 和 RSI (Realm Service Interface) 完全兼容，使得 CCA 软件栈无需修改即可运行。

2. 中断与设备虚拟化：

   • 中断处理：
     • SEL2： 利用硬件 GIC 支持，TMM 负责将安全世界的 FIQ 转换为正常世界的 IRQ，再注入到 CVM。
     • EL3： 由于缺乏硬件中断列表寄存器支持，TMM 完全在软件中模拟中断状态和注入过程（通过修改 TEC 上下文）。
   • MMIO 虚拟化： 对于没有硬件支持的平台，TMM 拦截 CVM 对 MMIO 的访问（通过 SMC 指令或异常捕获），模拟设备行为。

3. 测量与远程证明 (Attestation)：

   • 遵循 CCA 规范，利用硬件 RoT（Root of Trust）对固件、TMM 和 CVM 进行测量。
   • 生成平台令牌和 CVM 令牌，支持远程验证 CVM 的完整性。

3. 主要贡献 (Key Contributions)

1. 首个无 S-EL2 支持的 CVM 方案： 实现了在缺乏 S-EL2 支持的旧 Arm 硬件上运行安全 KVM 客户机，填补了硬件空白。
2. 强 API 兼容性： 设计的 TMI/TSI 接口与 Arm CCA 规范高度兼容，允许现有的 CCA 软件栈（包括 Guest OS、KVM、RMM）在 virtCCA 上以最小修改运行。
3. 完整的软件栈实现： 开发了包括 ATF、TMM、修改后的 KVM/QEMU 以及 Guest OS 在内的完整固件和软件栈。
4. 双架构实现与评估： 在真实的 Arm 服务器上实现了 SEL2 和 EL3 两种模式，并进行了广泛的基准测试。

4. 实验结果 (Results)

作者在真实的 Arm 服务器（支持 S-EL2 的 V8.4 服务器和不支持的 Kunpeng 920 服务器）上进行了评估：

• 微基准测试 (Micro-benchmarks)：
  • 上下文切换： 由于涉及世界切换（World Switch），CVM 的 IPI 和 I/O 开销比原生 KVM 高，但仍在可接受范围内。
  • 内存管理： 引入 NUMA 亲和性优化后，I/O 带宽性能提升了 66.7%。
• 宏观基准测试 (Macro-benchmarks)：
  • 计算密集型： 在 Linux/Unix nbench 中，virtCCA-SEL2 和 EL3 的开销分别仅为 1.8% 和 0.8%。
  • I/O 密集型： 在 Apache 等应用中，virtCCA-SEL2 的开销约为 29.7%（主要源于频繁的 MMIO 和中断模拟）。
  • EL3 模式优势： 有趣的是，在 virtCCA-EL3 模式下，由于 CVM 运行在“裸机”模式（Bare-metal mode），消除了 CPU 和内存虚拟化的开销，在大多数基准测试（如 Hackbench, Redis）中性能甚至优于原生 KVM 基线。
  • 延迟表现： 在 Redis 延迟测试中，virtCCA-EL3 在高吞吐量下的延迟甚至低于基线。

5. 意义与价值 (Significance)

• 填补市场空白： 在 Arm CCA 硬件普及之前，virtCCA 为云服务商和企业提供了一种立即部署机密计算的可行方案，充分利用现有的 Arm 服务器资产。
• 保护软件投资： 通过强 API 兼容性，virtCCA 保护了针对 CCA 开发的庞大软件生态，确保未来硬件发布时软件栈可无缝迁移。
• 安全性提升： 将 CVM 置于 TrustZone 安全世界，彻底消除了对 Hypervisor 内核的信任（Untrusted Hypervisor），相比 SeKVM 等方案，显著减小了可信计算基（TCB）。
• 性能优化： 证明了在旧硬件上通过软件模拟和架构优化（如 EL3 裸机模式、NUMA 优化），可以实现具有竞争力的性能，甚至在某些场景下超越传统虚拟化方案。

总结： virtCCA 是一项极具实用价值的创新工作，它巧妙地利用成熟的 TrustZone 技术，解决了 Arm 机密计算硬件滞后的问题，为过渡期提供了高性能、高兼容性的机密计算解决方案。