Realm Management Extension领域管理扩展(上)

 一、简介

本博客介绍了领域管理扩展（RME），这是Arm的架构扩展。RME是Arm机密计算架构（Arm CCA）的硬件组件，同时包括软件元素。RME动态地将资源和内存转移到新的受保护的地址空间，高特权软件或TrustZone固件无法访问。由于存在这个地址空间，Arm CCA构建了受保护的执行环境，称为领域。

领域允许较低特权的软件（如应用程序或虚拟机）保护其内容。领域还防止了来自运行在更高特权级别的软件（如操作系统或hypervisor）的攻击。高特权软件仍负责分配和管理领域使用的资源。然而，这种更高特权的软件不能访问领域的内容或影响其执行流程。

RME还可以动态地将内存转移到领域的受保护地址空间。有了RME，TrustZone软件实体可用的内存可以动态变化。

本指南描述了RME引入或更改的关键硬件特性，并向您介绍了软件架构。您将了解以下概念：

• 了解在具有RME的系统中引入的新的安全状态和物理地址（PA）空间
• 描述如何在PA空间之间动态分配内存区域
• 了解启用RME系统的系统要求

本指南解释了RME引入到处理器架构中的以下更改：

• 附加的安全状态
• 附加的物理地址
• 对颗粒保护检查的支持，允许将内存颗粒动态分配到物理地址空间

【注意】：多样性和包容性是Arm的重要价值观。因此，我们正在重新评估文档中使用的术语。较早的Arm文档使用主/从（master/slave）这样的术语。

本指南使用以下替代术语：

• 新术语"Requester"与早期文档中的"master"是同义词
• 新术语"