इस पेज पर, सुरक्षित कर्नेल पर आधारित वर्चुअल मशीन (pKVM) वेंडर मॉड्यूल को लागू करने का तरीका बताया गया है. यह तरीका अपनाने के बाद, आपके पास इस तरह का डायरेक्ट्री ट्री होना चाहिए:
Makefile
el1.c
hyp/
Makefile
el2.c
EL2 हाइपरवाइजर कोड (
el2.c) जोड़ें. कम से कम, इस कोड में एक ऐसा init फ़ंक्शन होना चाहिए जोpkvm_module_opsस्ट्रक्चर का रेफ़रंस स्वीकार करता हो:#include <asm/kvm_pkvm_module.h> int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops) { /* Init the EL2 code */ return 0; }pKVM वेंडर मॉड्यूल एपीआई, एक स्ट्रक्चर है, जिसमें pKVM हाइपरवाइजर के कॉलबैक को शामिल किया गया है. यह स्ट्रक्चर, GKI इंटरफ़ेस के एबीआई नियमों का पालन करता है.
हाइपरवाइजर कोड बनाने के लिए
hyp/Makefileबनाएं:hyp-obj-y := el2.o include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.moduleEL1 कर्नेल कोड (
el1.c) जोड़ें. इस कोड के init सेक्शन में,pkvm_load_el2 moduleको कॉल किया जाना ज़रूरी है, ताकि पहले चरण से EL2 हाइपरवाइज़र कोड लोड किया जा सके.#include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include <asm/kvm_pkvm_module.h> int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); static int __init pkvm_driver_init(void) { unsigned long token; return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token); } module_init(pkvm_driver_init);आखिर में, EL1 और EL2 कोड को एक साथ जोड़ने के लिए रूट Makefile बनाएं:
ifneq ($(KERNELRELEASE),) clean-files := hyp/hyp.lds hyp/hyp-reloc.S obj-m := pkvm_module.o pkvm_module-y := el1.o hyp/kvm_nvhe.o $(PWD)/hyp/kvm_nvhe.o: FORCE $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o else all: make -C $(KDIR) M=$(PWD) modules clean: make -C $(KDIR) M=$(PWD) clean endif
pKVM मॉड्यूल लोड करना
GKI वेंडर मॉड्यूल की तरह, pKVM वेंडर मॉड्यूल को modprobe का इस्तेमाल करके लोड किया जा सकता है.
हालांकि, सुरक्षा की वजहों से, ऐक्सेस हटाने से पहले कॉन्टेंट लोड होना चाहिए.
pKVM मॉड्यूल को लोड करने के लिए, आपको यह पक्का करना होगा कि आपके मॉड्यूल रूट फ़ाइल सिस्टम (initramfs) में शामिल हों. साथ ही, आपको अपने कर्नेल कमांड लाइन में ये मॉड्यूल भी जोड़ने होंगे:
kvm-arm.protected_modules=mod1,mod2,mod3,...
initramfs में सेव किए गए pKVM वेंडर मॉड्यूल, initramfs के हस्ताक्षर और सुरक्षा को इनहेरिट करते हैं.
अगर pKVM वेंडर का कोई मॉड्यूल लोड नहीं होता है, तो सिस्टम को असुरक्षित माना जाता है. साथ ही, सुरक्षित वर्चुअल मशीन को शुरू नहीं किया जा सकेगा.
EL2 (हाइपरवाइजर) फ़ंक्शन को EL2 (कर्नल मॉड्यूल) से कॉल करना
हाइपरवाइजर कॉल (एचवीसी) एक ऐसा निर्देश है जिसकी मदद से, कर्नेल को हाइपरवाइजर को कॉल करने की अनुमति मिलती है. pKVM वेंडर मॉड्यूल के आने के बाद, एचवीसी का इस्तेमाल करके, EL1 (कर्नल मॉड्यूल) से EL2 (हाइपरवाइजर मॉड्यूल) पर चलने वाले फ़ंक्शन को कॉल किया जा सकता है:
- EL2 कोड (
el2.c) में, EL2 हैंडलर का एलान करें:
Android-14
void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
{
/* Handle the call */
cpu_reg(ctx, 1) = 0;
}
Android-15
void pkvm_driver_hyp_hvc(struct user_pt_regs *regs)
{
/* Handle the call */
regs->regs[0] = SMCCC_RET_SUCCESS;
regs->regs[1] = 0;
}
अपने EL1 कोड (
el1.c) में, pKVM वेंडर मॉड्यूल में EL2 हैंडलर रजिस्टर करें:int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx); // Android14 void __kvm_nvhe_pkvm_driver_hyp_hvc(struct user_pt_regs *regs); // Android15 static int hvc_number; static int __init pkvm_driver_init(void) { long token; int ret; ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token); if (ret) return ret; ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token) if (ret < 0) return ret; hvc_number = ret; return 0; } module_init(pkvm_driver_init);अपने EL1 कोड (
el1.c) में, एचवीसी को कॉल करें:pkvm_el2_mod_call(hvc_number);