【ARMv8M Cortex-M33 系列 1.1 -- SAU Non-secure Callable(NSC) 介绍 】

SAU NSC 介绍

ARMv8-M 架构引入了 TrustZone 技术，它提供了一种机制来实现在单个处理器内部的安全隔离。这项技术定义了两种状态：安全状态（Secure state）和非安全状态（Non-secure state）。在此架构下，可以同时运行安全和非安全代码，并且通过硬件保护确保两者之间的隔离。

为了允许非安全代码安全地调用安全函数而不会破坏系统的安全性，ARMv8-M 引入了一种特殊的机制，即 非安全可调用（Non-secure Callable, NSC）区域。以下是一些详细解释：

安全状态（Secure state）

• 安全状态下的代码能够访问所有资源，包括安全和非安全内存以及外设。
• 任何要执行的安全代码都必须首先经过认证，并且通常被用来处理敏感数据和执行安全相关的任务。
• 安全状态下可以执行任务，如加密操作、安全启动、安全存储等。

非安全状态（Non-secure state）

• 非安全状态下的代码不能直接访问安全资源。
• 这被用来运行较少敏感的或者第三方的应用代码。

非安全可调用（Non-secure Callable, NSC）区域

如果实施了安全扩展，则 4GB 内存空间将划分为安全和非安全内存区域。安全内存空间进一步分为两种类型：

• 安全（S）；
• 非安全可调用（NSC: Non-secure Callable）。

NSC 介绍

• NSC 区域是安全内存中的一个特殊区域，安全世界可以将其配置为允许非安全世界的代码进行限制性调用，这种类型的内存是 Armv8-M 处理器允许保存 SG 指令的一种内存，使软件能够从非安全状态转换为安全状态。
• 这些区域通常包含一些入口点，比如封装了安全函数的跳转指令。比如，通常 NSC 内存区域包含小型分支跳转（entry points）的表。 为了防止非安全应用程序分支到无效入口点，这里有Secure Gateway (SG) 指令。。
• 当非安全代码试图调用安全函数时，它会跳转到 NSC 区域中的入口点，然后由这个入口点安全地转发到真正的安全函数。

通过将 SG 指令的功能限制在 NSC 内存中，安全软件创建者无需在正常安全内存中意外包含 SG 指令或数据共享编码值，包含 NSC 内存位置。

当非安全程序调用安全端的函数时：

• API 中的第一条指令必须是 SG 指令。
• SG 指令必须位于由 安全属性单元 (SAU ：Security Attribution Unit) 或实施定义的属性单元 ( IDAU ： Implementation Defined Attribution Unit) 定义的 NSC 区域中。

引入NSC内存的原因是为了防止其他二进制数据，例如查找表，其值与SG指令的操作码相同，作为进入安全状态的入口函数。 通过分离 NSC 和 Secure 内存类型，包含二进制数据的 Secure 程序代码可以安全地放置在 Secure 区域中，而无需直接暴露于 Normal 世界，并且只能使用 NSC 内存中的有效入口点进行访问。

配置 NSC

配置 NSC 区域通常涉及设置内存保护单元（MPU）或安全属性单元（SAU）的相关区域，使其具有 NSC 属性。这通常在系统启动时，由安全世界的启动代码完成。

NSC 区域中的函数通常会使用 BXNS 指令来返回到非安全状态，确保返回时正确地恢复非安全状态的上下文。 在设计安全系统时，正确配置和使用 NSC 区域是保护系统免受未授权访问和潜在漏洞影响的关键部分。

推荐阅读：
https://blog.csdn.net/weixin_42135087/article/details/122391507