CN114238185B 直接存储访问及命令数据传输方法、装置及相关设备 (海光信息技术股份有限公司)_第1页
CN114238185B 直接存储访问及命令数据传输方法、装置及相关设备 (海光信息技术股份有限公司)_第2页
CN114238185B 直接存储访问及命令数据传输方法、装置及相关设备 (海光信息技术股份有限公司)_第3页
CN114238185B 直接存储访问及命令数据传输方法、装置及相关设备 (海光信息技术股份有限公司)_第4页
CN114238185B 直接存储访问及命令数据传输方法、装置及相关设备 (海光信息技术股份有限公司)_第5页
已阅读5页,还剩62页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

业区海泰西路18号北2-204工业孵化-本发明实施例提供一种直接存储访问及命送对应该加密虚拟机的虚拟机标识,从而DMA设备进行与加密内存的数据传输时,IOMMU能够将IO页表转换得到的HPA与该虚拟机标识相结合,形成新的目标HPA,以使得内存控制器能够基于所述目标HPA中的虚拟机标识,调用与所述虚拟机标识对应的密钥,对HPA对应的加密内存页面2求基于DMA设备响应DMA命令得到,所述DMA命令通过用于传输命令数据的安全通道传输至确定所述DMA请求所需访问的内存数据的主机物利用所述目标HPA控制内存控制器,以使内存控制器基于与所述虚拟机标识对应的密2.根据权利要求1所述的方法,其特征在于,所响应于所述DMA命令,向输入输出内存管理单元IO在内存控制器响应所述DMA请求进行加密内存的数据传输时,接收所述内存控制器传3述DMA设备所需访问的内存的客户机物理地址G基于所述安全通道的通道密钥信息为所述D基于所传输数据的上下文标识,将所传输数据存储至与所述上下文将带有所述虚拟机标识的DMA命令发送至在生成DMA命令的虚拟机为加密虚拟机时,执行所述获取所述D4构建用于传输命令数据的安全通道,其中,所述安21.根据权利要求20所述的方法,其特征在于,在设备驱动待传输的命令数据所访问的资源为安全资源时,5构建用于传输命令数据的安全通道,其中,所述安所述基于所述安全通道的通道密钥信息,解29.根据权利要求28所述的方法,其特征在于,所述基于所述命令数据中的上下文标在标识记录表中更新当前的上下文标识及其所分配的片上内存,30.根据权利要求28所述的方法,其特征在于,所述基于所述命令数据中的上下文标基于所述命令数据中的上下文标识,将所述命令数据存储至与6请求发送模块,用于响应于所述DMA命令,向输入输出内存管理单元IOMMU发送DMA请求;所述DMA请求包括所述虚拟机标识,以使内存控制器基于与所述虚拟机标识对应的密标识获取模块,用于在加密虚拟机生成直接存储访问DMA命令后,获取所述78[0002]DMA(DirectMemoryAccess,直接存储访问)技术是使与主机连接的外部设备不[0010]利用所述目标HPA控制内存控制器,以使内存控制器基于与所述虚拟机标识对应[0020]所述将所述虚拟机标识设置在所述HPA中,还包括:将所述加密标识设置在所述9[0021]本发明实施例还提供一种直接存储访问方法,应用于直接存储访问DMA设备,包[0024]在内存控制器响应所述DMA请求进行加密内存的数据传输时,接收所述内存控制[0040]在加密虚拟机生成直接存储访问DMA命令后,获取所述DMA命令对应的虚拟机标[0060]获取DMA设备的芯片公钥,并以所述芯片公钥为所生成的公钥加密,形成第一密[0070]可选的,所述设备驱动与直接存储访问DMA设备之间的数据传输通道还包括引导[0073]可选的,所述判断设备驱动发送的命令数据所访问的资[0088]本发明实施例还提供一种命令数据传输方法,应用于直接存储访问DMA设备,包[0094]获取DMA设备的芯片公钥,并以所述芯片公钥为所生成的公钥加密,形成第一密述虚拟机标识对应的密钥,对HPA对应的加密内存页面进行数据的加/解密和数据的传输,[0149]图14为本发明实施例提供的建立DMA设备与加密虚拟机的设备驱动的安全通道的[0157]随着云服务的发展,虚拟化技术在云服务这一场景中得到了越来越广泛的应[0158]为避免云主机的主机操作系统获取虚拟机中的内存数据,保证用户云计算的安储。其中,虚拟机VM(VirtualMachine)运行在主机操作系统hostOS和虚拟机管理器VMM(VirtualMachineMonitor)上,相应的内存数据则可以通过加密引擎(例如SM4国标分组[0165]CPUSOC通过MMIO(memorymappedio,内存映射I/O)接口MMIO向GPU中的命令缓存区(commandbuffer)内注[0166]GPU中可以设置用于实现DMA功能的DMA模块,并利用CPUSOC中的IOMMU(Input/解为加密前,或密文经解密后得到的内存数据),而是需要加密虚拟机首先将密文进行解[0180]在一个可选的示例中,可以从所述加密虚拟机对应的模型特定寄存器(Model[0186]通过获取加密虚拟机的虚拟机标识,用于使发出的DMA命令中携带有改虚拟机标在DMA命令中的客户机物理地址GPA中,设置所述虚拟机标识。参考图7示出的一种可选的[0192]继续参考图4,执行步骤S12、设备驱动将带有所述虚拟机标识的DMA命令发送至[0195]所述DMA请求包括所述虚拟机标识,以使内存控制器基于与所述虚拟机标识对应行所述虚拟机标识设置于所述DMA请求中[0210]IOMMU在确定所述HPA对应的虚拟机标识后,可将所述HPA与所述虚拟机标识相结述虚拟机标识绑定的密钥,在所述HPA对应的加密内存进行数据的加/解密和数据的传输;GPU设备内的命令缓冲区,而GPU设备则进一步基于DMA模块将AI模型的模型数据从内存拷令数据加密传输功能的DMA设备,通过在该DMA设备与主机中的设备驱动之间建立安全通[0227]具体的,参考图11示出的DMA设备的可选结构示意图,所述DMA设备例如可以为[0240]具体的,图13示出了本发明实施例提供的命令数据传输[0243]具体的,在设备驱动待传输的命令数据所访问的资源为安全资源时,执行步骤[0249]具体的,参考图14所示的建立DMA设备与加密虚拟机的设备驱动的安全通道的可公钥;[0258]DMA设备可以利用芯片私钥进行第一密文的解密,进而得到所述设备驱动生成的公钥。使得相应的命令数据通过安全通道加密传输。其中,通道密钥信息至少包括通道密钥key,CEK)、完整性密钥(channelintegritykey,CIK)、初始向量(initialization于DMA设备侧的roundvalue每执行一次计[0287]在一个可选的示例中,context对应的channel描述符中保存有根页表的物理地据中显存虚拟地址VHVA对应的显存物理地址VHPA,进而,GMOM可以基于该显存物理地址[0290]在可选实现中,图16示出了本发明实施例提供的直接存[0292]地址确定模块310,用于确定所述DMA请求所需访问的内存数据的主机物理地址描述的直接存储访问装置可以认为是,DMA设备为实现本发明实施例提供的直接存储访问[0346]获取DMA设备的芯片公钥,并以所述芯片公钥为所生成的公钥加密,形成第一密[0353]在可选实现中,图19示出了本发明实施例提供的命令数[0357]可选的,所述设备驱动与直接存储访问DMA设备之间的数据传输通道还包括引导[0358]资源判断模块630,用于判断设备驱动待传输的命令数据所访问的资源是否为安[0359]在设备驱动待传输的命令数据所访问的资源为安全资源时,加密命令形成模块描述的命令数据传输装置可以认为是,DMA设备为实现本发明实施例提供的命令数据传输[0383]获取DMA设备的芯片公钥,并以所述芯片公钥为所生成的公钥加密,形成第一密[0398]本发明实施例还提供一种IOMMU,该IOMMU可被配置为执行本发明实施例提供的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论