设备直通（PF）

设备直通是基于华为鲲鹏芯片通过预埋在PCIE Root Complex里的PCIE保护组件（PCIPC），在PCIE总线上增加选通器，对CPU与外设间的通信进行选通，即对SMMU的Outbound Traffic和Inbound Traffic的控制流和数据流进行控制。在机密计算场景下，支持使能PCIPC保护的PCIE设备直通TEE安全域，数据免中转免拷贝，以此保证整体数据链路的安全性。并且基于该技术点，鲲鹏机密计算能支持异构机密计算，无需设备改造。基于virtCCA PCIPC设备直通能力，实现对PCIE设备的安全隔离和性能提升，存在以下优势：

• 安全隔离

  PCIPC保护的安全设备仅支持TEE侧访问，Host侧软件无法访问。

• 高性能

  机密虚拟机设备直通，相比业界加解密方案，数据面无损耗。

• 易用性

  兼容现有开源OS，无需修改开源OS内核驱动代码。

  图1 设备直通技术实现