Realm Management Extension领域管理扩展(上)

 一、简介

本博客介绍了领域管理扩展(RME),这是Arm的架构扩展。RME是Arm机密计算架构(Arm CCA)的硬件组件,同时包括软件元素。RME动态地将资源和内存转移到新的受保护的地址空间,高特权软件或TrustZone固件无法访问。由于存在这个地址空间,Arm CCA构建了受保护的执行环境,称为领域。

领域允许较低特权的软件(如应用程序或虚拟机)保护其内容。领域还防止了来自运行在更高特权级别的软件(如操作系统或hypervisor)的攻击。高特权软件仍负责分配和管理领域使用的资源。然而,这种更高特权的软件不能访问领域的内容或影响其执行流程。

RME还可以动态地将内存转移到领域的受保护地址空间。有了RME,TrustZone软件实体可用的内存可以动态变化。

本指南描述了RME引入或更改的关键硬件特性,并向您介绍了软件架构。您将了解以下概念:

  • 了解在具有RME的系统中引入的新的安全状态和物理地址(PA)空间
  • 描述如何在PA空间之间动态分配内存区域
  • 了解启用RME系统的系统要求

本指南解释了RME引入到处理器架构中的以下更改:

  • 附加的安全状态
  • 附加的物理地址
  • 对颗粒保护检查的支持,允许将内存颗粒动态分配到物理地址空间

【注意】:多样性和包容性是Arm的重要价值观。因此,我们正在重新评估文档中使用的术语。较早的Arm文档使用主/从(master/slave)这样的术语。

本指南使用以下替代术语:

  • 新术语"Requester"与早期文档中的"master"是同义词
  • 新术语"

你可能感兴趣的:(ARM安全,ARM安全架构,CCA,机密计算,RME,领域管理扩展)