kvTZ：在KVM虚拟化中实现Arm TrustZone的高效虚拟化方案

1. 项目概述：为什么虚拟机需要自己的TrustZone？

在Arm生态里搞安全开发或者云服务部署的同行，估计都绕不开TrustZone。简单来说，TrustZone是Arm芯片里的一套硬件安全扩展，它把处理器和系统资源（内存、外设）从硬件层面划分成两个“世界”：普通世界跑咱们日常用的Linux、Android这些富执行环境，而安全世界则运行一个更小、更可信的OS内核和一系列安全关键的可信应用，比如指纹验证、数字版权管理、支付密钥处理。这两个世界硬件隔离，普通世界的代码就算被攻破，也摸不到安全世界里的数据和代码。

这套机制在手机、物联网终端上很成熟。但问题来了：当Arm芯片跑进数据中心，成为云服务器的算力基石时，情况就变了。云环境的核心是虚拟化，一个物理机上要同时跑几十上百个虚拟机。然而，现有的主流虚拟化方案，比如基于KVM的解决方案，并没有把物理的TrustZone硬件能力“虚拟化”并暴露给单个虚拟机。

这就导致了一个尴尬的局面：我租用了一台Arm云服务器，启动了一个虚拟机，想在里面测试或部署一个依赖TrustZone的安全应用（比如基于OP-TEE的加密服务），却发现根本用不了。因为虚拟机看到的CPU，是一个“阉割版”——它没有EL3（监控模式），也无法进入安全世界。所有的安全世界资源都被宿主机独占或根本未启用。

过去，要解决这个问题，基本只有两条路：

1. 纯软件模拟：比如用QEMU的TCG（微型代码生成器）进行二进制翻译，全软件模拟一个带TrustZone的CPU。这条路能走通，但性能损耗极大，可能慢几十倍，完全不适合生产环境或性能敏感的测试。
2. 深度定制化方案：像早期的vTZ，它需要替换掉物理硬件上的EL3固件（也就是TrustZone的“门卫”），这相当于动了系统的“根基”，部署极其复杂，且与现有的KVM等商业化虚拟化方案不兼容。

所以，我们急需一个方案，它既能让虚拟机原生、高效地使用TrustZone（就像在真机上一样），又要对现有虚拟化栈改动小、易于部署，最好还能兼顾新兴的机密虚拟机的需求。这就是kvTZ要啃的硬骨头。

2. 核心设计思路：异常级别复用的巧思

kvTZ的核心目标很明确：在虚拟机内部，完整地虚拟出一个包含EL3（监控模式）、安全EL1（可信内核）、安全EL0（可信应用）的TrustZone执行环境，并且让其中的代码能够以接近原生的性能运行。

最大的挑战在于硬件资源的冲突。在物理TrustZone中，安全世界和普通世界是通过硬件状态位区分的，它们有各自独立的EL1系统寄存器组（banked registers），但共享同一个EL3。而在KVM的虚拟化模型里，虚拟机的内核（普通世界）本身就运行在硬件的EL1上，Hypervisor（KVM）运行在EL2。硬件EL3通常被宿主机固件（如ATF）占用。虚拟机不可能直接去操控硬件的EL3和安全世界状态。

kvTZ的破局之道，是一个叫做“异常级别复用”的设计。这个想法基于两个关键的硬件观察：

• 观察1：Arm架构在普通世界和安全世界的EL1，提供了同名且同格式的银行寄存器组。也就是说，SCTLR_EL1（系统控制寄存器）在普通世界有一个，在安全世界也有一个，硬件能根据当前世界状态自动访问对应的那组。
• 观察2：许多在EL3独有的系统寄存器（如SCR_EL3），其位域定义和宽度，与它们在EL1的对应寄存器（如SCR_EL1，如果存在的话）是兼容的。即使没有直接对应，其操作语义也类似。

基于此，kvTZ提出了一个大胆而巧妙的设计：将虚拟机内部的“安全世界”和“虚拟EL3”，全部映射到物理硬件的“普通世界EL1”上来执行。

具体是怎么做的呢？我们分CPU虚拟化和内存虚拟化来看。

2.1 CPU虚拟化：EL复用与陷入-模拟

想象一下，一个启用了kvTZ的虚拟机，它内部有三个执行上下文：

1. 普通世界EL1：客户机Linux内核。
2. 安全世界EL1：客户机的OP-TEE内核。
3. 虚拟EL3：客户机的可信固件（如TF-A）。

在物理硬件上，只有一个EL1的执行环境。kvTZ作为Hypervisor的扩展，需要扮演一个“上下文调度器”的角色。

1. 上下文切换当虚拟机内的代码执行SMC指令（从普通/安全EL1陷入到EL3）或ERET指令（从EL3返回EL1）时，这些指令会被KVM捕获（trap），陷入到EL2的Hypervisor中。kvTZ的代码就在这里介入。

• 处理SMC：kvTZ会保存当前硬件EL1寄存器组的状态（这代表了虚拟机内某个世界的EL1状态）到内存中一个专属于该虚拟上下文的结构体里。然后，从内存中加载虚拟EL3的寄存器状态到硬件EL1寄存器组。接着，它通过设置程序计数器（PC）等操作，让CPU从虚拟EL3的异常向量表开始执行。这样，物理CPU在EL1上运行的，却是虚拟机可信固件的代码逻辑。
• 处理ERET：过程相反。kvTZ保存当前硬件EL1的寄存器组（即虚拟EL3的状态）到内存，然后从内存中恢复出目标EL1（可能是普通世界或安全世界）的上下文到硬件EL1寄存器组，最后执行返回，让CPU跳转到目标EL1的代码继续执行。

这个过程就像在EL1这个“舞台”上，快速更换不同的“演员”（寄存器状态）和“剧本”（代码执行流），从而呈现出EL3、安全EL1、普通EL1三个不同“角色”的演出。

2. 寄存器访问重定向与陷入-模拟光是切换上下文还不够。当虚拟EL3的代码（可信固件）运行时，它本意是要操作SPSR_EL3、SCR_EL3这类EL3专属寄存器。但现在它跑在物理EL1上，这些指令会失败。

kvTZ采用了混合策略：

• 半虚拟化：对于大量与EL1寄存器格式兼容的EL3寄存器访问，kvTZ选择在加载客户机固件镜像时，静态地重写其指令。例如，把MSR SPSR_EL3, X0（写EL3状态寄存器）在二进制层面替换成MSR SPSR_EL1, X0。这样，固件代码实际上操作的是硬件EL1的寄存器，而kvTZ在上下文切换时，会把这些寄存器的值作为虚拟EL3的状态来保存和恢复。
• 陷入-模拟：对于少数EL3真正独有的寄存器（如MDCR_EL3），或者那些在虚拟EL3上下文中不能直接访问EL1寄存器的敏感操作（比如可信固件在切换世界时需要保存/恢复另一个世界的EL1状态），kvTZ则采用动态拦截。它将这些指令替换为对Hypervisor的调用（hypercall）。当执行到这些指令时，会陷入EL2，由kvTZ的代码模拟这些操作的效果，更新内存中保存的虚拟寄存器状态，而不是真正操作物理寄存器。

注意：这里的“半虚拟化”修改是针对客户机内的可信固件和可信内核镜像，而不是宿主机或Hypervisor。这通常是在创建虚拟机镜像时完成的一次性步骤，对用户透明。OP-TEE和TF-A都是开源项目，kvTZ提供了补丁来实现这些修改。

2.2 内存虚拟化：两套Stage-2页表

TrustZone的硬件隔离也包括内存。物理上，系统内存的一部分可以通过TrustZone地址空间控制器划定为“安全内存”，只有安全世界的访问才能触及。

kvTZ需要在虚拟化层面实现类似的隔离。Arm的虚拟化扩展提供了Stage-2页表，它由Hypervisor管理，负责将虚拟机看到的物理地址转换为机器物理地址。kvTZ为每个支持TrustZone的虚拟机维护两套独立的Stage-2页表：

• 普通世界页表：当虚拟���运行在普通世界上下文时使用。这张页表只映射属于该虚拟机的“普通内存”区域。
• 安全世界页表：当虚拟机运行在安全世界或虚拟EL3上下文时使用。这张页表可以映射该虚拟机的“普通内存”和“安全内存”区域。

在每次通过EL复用切换执行上下文（普通世界EL1 <-> 安全世界EL1 <-> 虚拟ELాలు）时ాలు，kvాలుZ除了切换ాలుCPU寄存器ాలు状态，ాలు还会同步切换ాలుStage-ాలు2页ాలు表基ాలు址寄存器ాలు。这样，ాలు当虚拟机ాలు代码访问内存时ాలు，硬件ాలుMMUాలు会自动通过当ಗಳ前ాలుStage-ాలు2页ాలు表进行ాలు翻译。如果ాలు普通世界ాలు代码尝试访问ాలు安全内存，由于它的页表ాలు中根本没有ాలు对应映射ాలు，硬件会产生一个ాలుStage-ాలు2页ాలు错误并被KాలుVM拦截，ాలు从而阻止ాలు非法访问ాలు。

2.3 I/O虚拟化与中断处理

TrustZone下的安全外设（如安全UART、安全GPIO）同样需要被虚拟化。kvTZ利用现有的VMM（如QEMU）的虚拟设备模型。它将安全外设的MMIO地址范围只在“安全世界页表”中映射。当虚拟机的安全世界代码访问这些地址时，会产生MMIO退出到Hypervisor，kvTZ将其路由到QEMU中对应的虚拟设备模型进行处理。

对于中断，kvTZ扩展了虚拟通用中断控制器（vGIC）的支持。它会区分一个虚拟中断是“安全中断”还是“非安全中断”。当中断需要注入到虚拟机时，kvTZ会检查当前虚拟机的执行上下文（处于哪个世界），确保安全中断只被递送到安全世界的vGIC接口，从而模拟了硬件TrustZone的中断隔离行为。

3. 实现与部署：让OP-TEE在KVM和pKVM中跑起来

理论很精妙，但工程上能否实现才是关键。kvTZ团队选择了最主流的虚拟化栈进行原型实现：Linux KVM和QEMU。这确保了方案的实用性和上游兼容潜力。

3.1 代码修改量：一场精准的外科手术

令人印象深刻的是，为了实现如此复杂的功能，对核心组件的修改却相当克制：

• KVM (主线Linux v5.15)：增加/修改约440行代码。主要修改集中在arch/arm64/kvm/目录下，用于处理SMC/ERET陷入、EL上下文切换、两套Stage-2页表管理，以及针对半虚拟化指令的快速处理优化。
• KVM (带pKVM的Android Linux)：增加/修改约507行代码。pKVM是谷歌为保护机密虚拟机引入的轻量级安全监控模块，运行在EL2。kvTZ需要将上述功能集成到pKVM的TCB中，确保在保护CVM的前提下完成世界切换。
• QEMU (v8.0.0)：增加/修改约432行代码。主要是为了在虚拟机设备树中描述并模拟出TrustZone相关的硬件资源，如安全内存区域、安全外设等，并与KVM侧的修改联动。
• 客户机软件栈：
  • OP-TEE 内核：修改约483行代码。主要是将访问EL3专属寄存器的指令替换为对EL1寄存器的访问（半虚拟化），并将部分敏感指令（如某些系统寄存器访问、HLT指令）替换为hypercall。
  • 可信固件 TF-A (v2.9)：包含在OP-TEE框架内，进行了类似的半虚拟化修改。
  • 客户机Linux内核：仅需约10行代码的修改，用于适配虚拟化的世界切换流程。

从代码量来看，kvTZ更像是对现有虚拟化栈和TEE软件栈的“适配”和“扩展”，而非重写。这种克制是实现可维护性和上游合并可能性的关键。

3.2 性能优化：绕过Host的直通处理

最初的实现中，每次虚拟机执行需要陷入模拟的指令（如半虚拟化后的特殊操作），都会导致一次完整的VM-Exit，从EL2陷入到EL1的KVM主机内核，处理完后再返回。这个路径很长，开销很大。

kvTZ引入了一个重要的优化：系统寄存器操作直通处理。对于许多在EL2就可以安全处理的寄存器访问模拟，kvTZ修改了KVM，使其处理代码直接运行在EL2的低虚机监控程序（lowvisor）中。这样，一次陷入-模拟的过程完全在EL2内完成，无需切换到主机内核，极大地减少了上下文切换的开销。论文数据显示，这一优化将某些微基准测试（如SMC调用）的延迟降低了数倍。

3.3 部署流程：从零启动一个带kvTZ的虚拟机

对于想尝鲜的开发者，部署kvTZ环境大致需要以下步骤（以在Arm开发板上为例）：

1. 准备宿主环境：

   • 获取并打上kvTZ补丁的Linux内核源码，编译并部署到宿主机。
   • 同样，获取并打上补丁的QEMU源码，进行编译。
   • 准备一个包含已打补丁的OP-TEE、TF-A和Linux客户机内核的根文件系统镜像。

2. 配置虚拟机启动参数：

   • 在QEMU启动命令中，需要显式启用TrustZone虚拟化支持，例如通过-machine virt,secure=on -bios参数指定打好补丁的虚拟固件镜像。
   • 通过-m参数预留出安全内存区域，例如-m 1024,secure-memory=64表示总共1GB内存，其中64MB划为安全内存。

3. 启动与验证：

   • 启动QEMU-KVM虚拟机。如果一切正常，在虚拟机内的Linux中，应该能通过OP-TEE的客户端驱动与运行在虚拟安全世界中的OP-TEE服务进行通信，执行如hello_world、aes加解密等可信应用。

ాలు实操心得ాలు：ాలు第一次部署时ాలు，最容易出问题的地方是内存布局和设备树。确保QEMU命令中声明的安全内存地址范围，与OP-TEE和TF-A编译时预期的地址完全一致。建议先使用kvTZ项目提供的预设脚本来构建和启动，理解整个流程后再进行自定义。

4. 性能与安全分析：真的又快又安全吗？

任何虚拟化方案都绕不开性能和安全的拷问。kvTZ在这两方面的表现如何？

4.1 性能评估：原生执行的威力

论文在Arm Neoverse N1服务器和树莓派3B+上进行了测试，对比了多种配置：

• BM：物理裸机运行OP-TEE。
• QEMU：纯软件模拟的虚拟机。
• KVM：标准KVM虚拟机（无TrustZone）。
• kvTZ-KVM：支持kvTZ的KVM虚拟机。
• kvTZ-pKVM：支持kvTZ的pKVM机密虚拟机。

测试用例包括多个OP-TEE内置可信应用（TA）的基准测试，如aes（加解密）、acipher（非对称加密）等。

关键结论如下：

1. 相比纯软件模拟（QEMU），性能提升巨大：在计算密集型的acipher测试中，kvTZ相比QEMU有数量级（10倍以上）的性能提升。这完全在预期之内，因为kvTZ让TA代码在虚拟机的安全世界上下文中原生执行，而QEMU TCG则是每条指令都进行二进制翻译，开销极高。
2. 相比裸机（BM），开销极小：在acipher这类计算密集型负载上，kvTZ-KVM的开销低于5%。这意味着虚拟化引入的损耗主要来自世界切换和少数指令的陷入-模拟，而当TA真正运行起来执行核心计算时，几乎与在物理CPU上跑得一样快。
3. I/O是主要开销源：测试中发现，像hello_world这样频繁调用printf的TA，性能下降较为明显（约50毫秒额外延迟）。这是因为每次串口输出都会导致VM-Exit到QEMU进行模拟。这并非kvTZ独有的问题，而是所有虚拟化I/O面临的挑战。在实际部署中，可通过使用virtio等半虚拟化I/O驱动来大幅改善。
4. 优化效果显著：论文中对比了优化前后的kvTZ。在aes测试中，未优化的版本在树莓派上有超过200毫秒的延迟，而优化后（在EL2处理陷入）的版本将这部��开销降到了很低水平。这证明了其性能优化路径的有效性。
5. 对REE性能影响甚微：在运行普通世界应用（如nginx,redis）的测试中，启用kvTZ的虚拟机与普通KVM虚拟机相比，性能损耗非常小（通常<2%）。这是因为kvTZ的干预只发生在虚拟机进行世界切换或执行特定安全指令时，对普通世界的持续运行干扰很小。

4.2 安全分析：隔离是底线

kvTZ的安全目标是在虚拟化环境中，重建物理TrustZone提供的硬件隔离保证。

1. ాలుాలుాలుాలుాలుాలుాలుాలుాలుాలు软件漏洞：ాలుkvTాలుZ无法ాలు消除客户机ాలుTEEాలు软件（ాలు如OPాలు-TEEాలు内核或TA）ాలు自身的漏洞ాలు。如果ాలుTA存在缓冲区溢出漏洞，攻击者依然可能从虚拟机普通世界通过精心构造的调用攻破它。kvTZ提供的是隔离机制，而非漏洞修补。

2. 寄存器状态隔离：通过EL复用和上下文切换，kvTZ确保了虚拟机普通世界无法窥探或篡改安全世界（包括虚拟EL3）的CPU寄存器状态。这些状态被保存在由Hypervisor管理的内存中，并在世界切换时严格擦除和恢复。

3. 内存隔离：通过两套独立的Stage-2页表，kvTZ确保了普通世界页表（normal-VTTBR）绝不映射安全内存区域。任何来自普通世界的非法访问都会触发Stage-2页错误并被Hypervisor拒绝。

4. I/O与中断隔离：安全外设的MMIO访问被陷阱并路由到正确的虚拟设备模型。安全中断被正确标记并只注入到安全世界的vGIC。

5. 对机密虚拟机（CVM）的支持：在pKVM环境中，kvTZ的扩展被集成到pKVM这个位于EL2的TCB中。pKVM本身的设计就保证了宿主机（包括KVM主线程）无法访问CVM的私有内存和CPU状态。kvTZ在此基础上，进一步将CVM的安全世界状态也纳入保护范围。CVM的普通世界和安全世界之间的切换，完全在pKVM的隔离保护下进行，宿主机无法干预。这为云服务商提供了一个强大的能力：向租户提供一个完全隔离的、自带完整TEE环境的机密虚拟机。

5. 常见问题与排查思路

在实际搭建和测试kvTZ环境时，可能会遇到一些典型问题。以下是一些排查思路：

问题1：虚拟机启动时卡在TF-A或OP-TEE内核早期阶段，没有任何输出。

• 可能原因1：内存布局不匹配。这是最常见的问题。检查QEMU命令行中指定的安全内存起始地址和大小，是否与编译OP-TEE和TF-A时在platform_config.h等配置文件中定义的TA_RAM_START/SIZE、TEE_RAM_START/SIZE完全一致。一个字节的偏差都可能导致内存访问错误。
• 可能原因2：设备树（DTB）问题。确保传递给虚拟机的设备树包含了正确的secram（安全内存）节点描述，并且地址范围与上述配置匹配。kvTZ修改过的QEMU应该能自动生成正确的节点。
• 排查方法：尝试在QEMU命令中加入-d guest_errors,in_asm -D debug.logాలు参数，将虚拟机CPU异常和指令执行日志输出到文件，分析出错时的地址和指令。

问题2：在Linux用户空间调用OP-TEE客户端API（如TEEC_InvokeCommand）失败，返回通信错误。

• 可能原因1：虚拟安全世界未成功启动。首先确认OP-TEE内核和TA是否已在虚拟安全世界中正常加载。可以通过查看虚拟机启动日志（如果配置了安全世界UART输出），或者检查/dev/tee0或/dev/teepriv0设备节点是否存在。
• 可能原因2：世界切换路径有误。kvTZ需要修改客户机Linux内核的SMC调用处理路径，以适配虚拟化环境。确保你使用的是打过kvTZ补丁的客户机内核。
• 排查方法：在客户机Linux中，使用dmesg | grep tee查看TEE驱动初始化日志。也可以使用xtest（OP-TEE测试套件）进行基础功能测试，其输出会更具信息性。

问题3：性能远低于论文中报告的数据。

• 可能原因1：未启用性能优化。确认使用的内核是否包含了“系统寄存器操作直通处理”的优化补丁。早期的原型版本性能开销会大很多。
• 可能原因2：I/O瓶颈。如果测试用例涉及大量日志输出或网络I/O，性能损耗主要来自QEMU的模拟。尝试关闭调试输出，或为虚拟网卡使用virtio-net半虚拟化驱动。
• 可能原因3：主机配置。确保宿主机BIOS中已启用所有CPU虚拟化扩展（如KVM所需扩展），并且主机负载不高。

问题4：如何为我的自定义TA开发环境使用kvTZ？kvTZ最大的价值之一就是提供了一个与硬件无关的TEE开发和测试环境。流程与物理开发板类似：

1. 使用kvTZ提供的构建脚本，生成包含已修改的TF-A、OP-TEE内核和Linux客户机的磁盘镜像。
2. 将你的TA源码放入OP-TEE的optee_examples目录，或按照OP-TEE标准方式编译成TA镜像文件（.ta）。
3. 将TA镜像文件放入根文件系统的lib/optee_armtz/目录。
4. 启动kvTZ虚拟机，你的TA就可以像在真机上一样被加载和调用了。你可以方便地进行调试、测试和模糊测试，而无需反复烧录物理设备。

kvTZ的出现，相当于为Arm TEE社区提供了一个功能完备的“软件定义的安全芯片”。它打破了硬件依赖，让安全应用的开发、集成测试和云端部署变得更加敏捷和标准化。虽然目前仍是一个研究原型，但其设计思路清晰，对主流虚拟化栈ాలు改动精巧，ాలు为未来ాలుKVMాలు等上游ాలు项目接纳ాలు类似功能ాలు铺平ాలు了道路ాలు。对于ాలు从事TEEాలు相关工作的开发者来说，了解并尝试kvTZ，无疑是拓宽工具箱、提升工作效率的明智之举。