PF设备直通

设备直通是基于华为鲲鹏处理器通过预埋在PCIe Root Complex里的PCIe保护组件（PCIPC），在PCIe总线上增加选通器，对CPU与外设间的通信进行选通，即对SMMU的Outbound Traffic和Inbound Traffic的控制流和数据流进行控制。在机密计算场景下，支持使能PCIPC保护的PCIe设备直通Realm安全域，数据免中转免拷贝，以此保证整体数据链路的安全性。基于该技术点，鲲鹏机密计算能支持异构机密计算，无需设备改造。

基于CCA PCIPC设备直通能力，实现对PCIe设备的安全隔离和性能提升，存在以下优势：

• 安全隔离

  使能CCA能力后PCIPC保护的安全设备仅支持Realm侧访问，Host侧软件无法访问。

• 高性能

  Realm机密虚拟机设备直通，相比业界加解密方案，数据面无损耗。

• 易用性

  兼容现有开源OS，无需修改开源OS内核驱动代码。

  图1 PF设备直通功能流程