2024龙蜥大会英特尔分论坛：龙蜥社区 TDX 技术实践-尚旭春 胡志明.pdf

《2024龙蜥大会英特尔分论坛：龙蜥社区 TDX 技术实践-尚旭春 胡志明.pdf》由会员分享，可在线阅读，更多相关《2024龙蜥大会英特尔分论坛：龙蜥社区 TDX 技术实践-尚旭春 胡志明.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、龙蜥社区 TDX 技术实践阿里云操作系统团队工程师尚旭春Intel资深软件工程师胡志明TDX 原理及其应用What is TDXTDX 原理TDX 硬件架构TDX 远程证明0101Anolis TDX 支持0202TDX 的应用场景0303公有云数据加密AI 训练推理龙蜥社区在 TDX Guest 的优化龙蜥 ANCK 内核演示What is TDXTDX 综述SEAM MODESEAMVMX RootSEAMVMXNon-RootTDVMTDGuest OSTDVMTDGuest OSTDX ModuleVMLAUNCHTDVMCALLVMRESUMETDEXITVMX RootVMX No

2、n-RootLegacy VMGuest OSLegacy VMGuest OSHypervisiorVMLAUNCHVMEXITVMLAUNCHVMEXITTDX 1.5EMR 平台TDX 支持热迁移SPR 平台TDX 基础功能支持TDX 1.0TDX 2.0GNR 平台TDX 支持 TDX-ConnectSEAMCALL SEAMRET TDX 技术架构SPR/EMR/GNRVMMTDX ModuleTDRManagementTD ManagementKey ManagementMSR bitmapSEPT RootTDVPRVMCSvAPICTDVMPrivate MemoryShare

3、d MemoryDeviceTDX 远程证明TDVMAttestation AgentTDX ModuleTDCALL 获得TDReportQuoting Enclave生成 QuoteQuoteIntel PCS获取 PCK 证书DeviceDeviceAttestation SDKDevice ReportDevice RA ServiceAnolis TDX 支持TDX DetectVE handlerTDVMCALLTDGETQuoteAnolis TDX Guest 支持TDX Guest 基础支持DMA 优化启动优化云原生场景适配Swiotlb 大小自适应DMA API 自适应驱动

4、无需修改OVMFTDVM2GTDX ModuleLazyEFIStubTDShimTDVMTDX ModuleCloudhypervisior2GLazy内存 Lazy AcceptAnolis TDX Guest 支持TDX 的应用场景TDX 应用场景公有云数据加密用户数据全加密私密部署可信服务镜像仓库镜像仓库 OSS 加密镜像加密镜像加密数据加密数据TDX ContainerTDX ContainerTDX Node K8S Cluster 密钥管理服务远程证明服务TDX 应用场景GPU 训练/推理加密TDVMGPUGPU 驱动加密数据缓冲区SPDM 接收缓冲区加密解密Bounce BufferSPDM 加密链路1.Hypervisior 配置 GPU 工作在 CC 模式下，随后直通给 TDVM2.GPU CC 模式下，禁止任何非授权访问3.通过 SPDM 协议，CPU 与 GPU 建立安全链路4.通过远程证明服务确保 GPU&GPU 运行在可信环境GPU CCSPDMAttestation1.运行期间所有内存全加密，GPU 计算全加密2.GPU 驱动在 Shared Memory 分配 BounceBuffer 用于 DMAMKTMEBounce BufferTDX 应用场景金融政企医疗数字货币量化投资安全支付数字身份基础设施隔绝网络诈骗病例诊断药物研发