diff --git "a/Test_Result/openEuler-25.09/openEuler\346\224\257\346\214\201CCA\346\234\272\345\257\206\350\231\232\346\234\272\346\265\213\350\257\225\346\212\245\345\221\212.md" "b/Test_Result/openEuler-25.09/openEuler\346\224\257\346\214\201CCA\346\234\272\345\257\206\350\231\232\346\234\272\346\265\213\350\257\225\346\212\245\345\221\212.md" new file mode 100644 index 0000000000000000000000000000000000000000..776ef1ea9a2046c970f5b4ed35eee63046a3cce8 --- /dev/null +++ "b/Test_Result/openEuler-25.09/openEuler\346\224\257\346\214\201CCA\346\234\272\345\257\206\350\231\232\346\234\272\346\265\213\350\257\225\346\212\245\345\221\212.md" @@ -0,0 +1,102 @@ +![avatar](../../images/openEuler.png) + + +版权所有 © 2025 openEuler社区 + 您对“本文档”的复制、使用、修改及分发受知识共享(Creative Commons)署名—相同方式共享4.0国际公共许可协议(以下简称“CC BY-SA 4.0”)的约束。为了方便用户理解,您可以通过访问https://creativecommons.org/licenses/by-sa/4.0/ 了解CC BY-SA 4.0的概要 (但不是替代)。CC BY-SA 4.0的完整协议内容您可以访问如下网址获取:https://creativecommons.org/licenses/by-sa/4.0/legalcode。 + +修订记录 + +| 日期 | 修订 版本 | 修改描述 | 作者 | +| ---- | ----------- | -------- | ---- | +| 2025-09-10| v1.0 | openEuler支持CCA机密虚机测试报告| 薛文珍 | + +关键词:机密计算、机密虚机、ARM CCA、安全、数据安全、TEE + +摘要:基于ARM V9硬件及固件,配套openEuler CCA机密虚机软件栈,即可创建CCA机密虚机,部署用户的数据敏感业务。CCA能够保护在数据处理过程中不被恶意软件或未经授权的访问者所窃取或篡改,增强了数据和代码的安全性。 + + +缩略语清单: + +| 缩略语 | 英文全名 | 中文解释 | +| ------ | -------- | -------- | +| TEE | Trusted Execution Environment | 可信执行环境 | +| CCA | Confidential Compute Architecture | 机密计算架构 | + +# 1 特性概述 + +目前,全球多个国家和地区对数据安全与隐私保护给予高度关注,纷纷出台相关政策举措以确保数据的安全流通以及充分发挥数据价值。机密计算因此诞生,基于硬件可信执行环境保护使用中数据的机密性和完整性。 +然而第一代机密计算技术如Intel SGX、ARM Trustzone需要应用拆分改造,技术门槛较高,影响了机密计算的推广和落地,各芯片厂商纷纷推出机密虚机技术如AMD SEV、Intel TDX、ARM CCA等。 +本方案基于ARM CCA的技术架构、指导规范以及开源代码,在openEuler 6.6内核上构建CCA软件栈,提供开箱即用的CCA机密虚机。 + +# 2 特性测试信息 + +本节描述被测对象的版本信息和测试的时间及测试轮次,包括依赖的硬件。 + +| 版本名称 | 测试起始时间 | 测试结束时间 | +| -------- | ------------ | ------------ | +| rc3_openeuler-2025-08-22-15-24-40 | 2025/8/25 |2025/08/30 | +| rc4_openeuler-2025-08-30-07-03-01 | 2025/08/30|2025/09/06 | +| rc5_openeuler-2025-09-06-07-02-21 | 2025/09/06|2025/09/09 | +描述特性测试的硬件环境信息 + +| 硬件型号 | 硬件配置信息 | 备注 | +| -------- | ------------ | ---- | +| NA | NA | 物理机(当前基于仿真环境验证) | + +# 3 测试结论概述 + +## 3.1 测试整体结论 + +openEuler支持CCA机密虚机特性,共计执行4个用例,主要覆盖了基于CCA架构的机密虚机生命周期管理-定义、销毁虚拟机域,创建、启动、销毁虚拟机功能以及获取证明报告的功能测试。 +经测试未发现问题,无遗留风险,整体质量良好。 + +| 测试活动 | 测试子项 | 活动评价 | +| ------- | -------- | ------- | +| 功能测试 |机密虚机生命周期管理、获取证明报告 | 未发现问题,无遗留风险 | +| 可靠性测试 | libvirt服务状态对虚拟机生命周期的影响 |未发现问题,无遗留风险 | +## 3.2 约束说明 + +CCA机密虚机强依赖ARM V9芯片的RME扩展架构,目标基于鲲鹏920系列 带TEE License的服务器验证,由于硬件Ready时间不确定,本需求基于QEMU仿真环境验收。 + +## 3.3 遗留问题分析 + +### 3.3.1 遗留问题影响以及规避措施 + +不涉及遗留问题 + +### 3.3.2 问题统计 + +不涉及 + +# 4 详细测试结论 + +## 4.1 功能测试 +(1)通过libvirt管理虚拟机,功能正常,日志正常打印: + 1)定义虚拟机域:virsh define xx.xml + 2)销毁虚拟机域:virsh undefine xx + 3)启动机密虚机:virsh start xx + 4)销毁机密虚机:virsh destroy xx + 5)创建并启动虚机:从指定xml创建并启动机密虚机,virtsh create xx.xml。 +(2)登录虚拟机,实时获取机密虚机的度量报告,功能正常。 + +## 4.2 可靠性测试结论 + +验证libvirtd服务状态对机密虚机生命周期的影响:关闭服务,创建虚拟机失败;开启服务,创建虚拟机成功;虚拟机创建成功后,关闭服务,不影响虚拟机正常运行。符合预期,功能正常。 + +## 4.3 资料测试结论 +| 测试类型 | 测试内容 | 测试结论 | +| ------- | ------- | -------- | +| 资料测试 | PR:https://gitee.com/openeuler/CCA/pulls/6 检视意见均已闭环,新增参数与使用等描述完整准确,无遗留问题。 | 通过 | + +# 5 测试执行 + +## 5.1 测试执行统计数据 + +*本节内容根据测试用例及实际执行情况进行特性整体测试的统计,可根据第二章的测试轮次分开进行统计说明。* + +| 版本名称 | 测试用例数 | 用例执行结果 | 发现问题单数 | +| -------- | ---------- | ------------ | ------------ | +| rc3_openeuler-2025-08-22-15-24-40 |4| 成功4个,失败0个 | 0| +| rc4_openeuler-2025-08-30-07-03-01 |4| 成功4个,失败0个| 0| +| rc5_openeuler-2025-09-06-07-02-21 |4 | 成功4个,失败0个 | 0| +