ARM CCA机密计算硬件架构之内存管理

实施了TrustZone安全扩展的Arm A-profile处理器呈现两个物理地址空间（PAS）：

• 非安全物理地址空间
• 安全物理地址空间

Realm管理扩展增加了两个PAS：

• Realm物理地址空间
• Root物理地址空间

下图显示了这些物理地址空间以及如何在工作系统中实施这些空间：

正如表格所示，根状态能够访问所有物理地址空间。根状态使得在需要时可以在非安全PAS和安全或领域PAS之间进行内存过渡。

为确保对所有world的隔离规则得以执行，前述表格中的物理内存访问控制由内存管理单元（MMU）强制执行，位于任何地址转换的下游。该过程称为颗粒保护检查（GPC）。

每个颗粒的物理内存的PAS分配在颗粒保护表（GPT）中描述。在异常级别3中的监视器可以动态更新GPT，从而允许在worlds之间移动物理内存。

任何访问控制违规都会导致一种新类型的故障，称为颗粒保护故障（GPF）。GPC的启用、GPT的内容以及GPF的路由由根状态控制。

属于领域的资源必须位于领域拥有的内存中，即属于领域PAS的一部分，以确保隔离。然而，领域可能需要访问一些保存在非安全内存中的资源，例如启