实现 pKVM 供应商模块

本页介绍了如何实现受保护的基于内核的虚拟机 (pKVM) 供应商模块。完成这些步骤后，您应该会看到类似于下方所示的目录树：

Makefile
el1.c
hyp/
    Makefile
    el2.c

1. 添加 EL2 Hypervisor 代码 (el2.c)。此代码必须至少声明一个接受对 pkvm_module_ops 结构体引用的 init 函数：

   #include <asm/kvm_pkvm_module.h>
   
   int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops)
   {
     /* Init the EL2 code */
   
     return 0;
   }
   

   pKVM 供应商模块 API 是一个结构体，封装了对 pKVM Hypervisor 的回调。此结构体遵循与 GKI 接口相同的 ABI 规则。

2. 创建 hyp/Makefile 以构建 Hypervisor 代码：

   hyp-obj-y := el2.o
   include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.module
   

3. 添加 EL1 内核代码 (el1.c)。此代码的 init 部分必须包含对 pkvm_load_el2 module 的调用，以加载第 1 步中的 EL2 Hypervisor 代码。

   #include <linux/init.h>
   #include <linux/module.h>
   #include <linux/kernel.h>
   #include <asm/kvm_pkvm_module.h>
   
   int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);
   
   static int __init pkvm_driver_init(void)
   {
       unsigned long token;
   
       return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token);
   }
   module_init(pkvm_driver_init);
   

4. 最后，创建根 makefile，将 EL1 和 EL2 代码关联起来：

   ifneq ($(KERNELRELEASE),)
   clean-files := hyp/hyp.lds hyp/hyp-reloc.S
   
   obj-m := pkvm_module.o
   pkvm_module-y := el1.o hyp/kvm_nvhe.o
   
   $(PWD)/hyp/kvm_nvhe.o: FORCE
            $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o
   else
   all:
           make -C $(KDIR) M=$(PWD) modules
   clean:
           make -C $(KDIR) M=$(PWD) clean
   endif
   

加载 pKVM 模块

与 GKI 供应商模块一样，可以使用 modprobe 加载 pKVM 供应商模块。不过，出于安全原因，加载操作必须在撤消特权之前进行。如需加载 pKVM 模块，您必须确保自己的模块包含在根文件系统 (initramfs) 中，并且必须将以下内容添加到内核命令行：

kvm-arm.protected_modules=mod1,mod2,mod3,...

存储在 initramfs 中的 pKVM 供应商模块会继承 initramfs 的签名和保护机制。

如果有一个 pKVM 供应商模块加载失败，系统就会被视为不安全，并且无法启动受保护的虚拟机。

通过 EL2（内核模块）调用 EL2 (Hypervisor) 函数

Hypervisor 调用 (HVC) 是一条可让内核调用 Hypervisor 的指令。引入 pKVM 供应商模块后，HVC 可用于从 EL1（内核模块）调用会在 EL2（Hypervisor 模块）运行的函数：

1. 在 EL2 代码 (el2.c) 中，声明 EL2 处理程序：

Android-14

  void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
  {
    /* Handle the call */

    cpu_reg(ctx, 1) = 0;
  }

Android-15

  void pkvm_driver_hyp_hvc(struct user_pt_regs *regs)
  {
    /* Handle the call */

    regs->regs[0] = SMCCC_RET_SUCCESS;
    regs->regs[1] = 0;
  }

1. 在 EL1 代码 (el1.c) 中，向 pKVM 供应商模块注册 EL2 处理程序：

   int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);
   void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx); // Android14
   void __kvm_nvhe_pkvm_driver_hyp_hvc(struct user_pt_regs *regs);   // Android15
   
   static int hvc_number;
   
   static int __init pkvm_driver_init(void)
   {
     long token;
     int ret;
   
     ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token);
     if (ret)
       return ret;
   
     ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token)
     if (ret < 0)
       return ret;
   
     hvc_number = ret;
   
     return 0;
   }
   module_init(pkvm_driver_init);
   

2. 在 EL1 代码 (el1.c) 中，调用 HVC：

   pkvm_el2_mod_call(hvc_number);