本指南介绍了领域管理扩展(RME),这是该体系结构的扩展。
RME是Arm机密计算架构(Arm CCA)的硬件组件还包括软件元素。RME动态地将资源和内存传输到一个新的受保护的地址空间,更高特权的软件或TrustZone固件不能访问。由于这个地址空间,Arm CCA构造了受保护的执行环境,称为领域。
领域允许保护权限较低的软件,如应用程序或虚拟机(VM)其内容。领域还可以防止使用以更高权限运行的软件进行攻击级别,如操作系统或管理程序。更高权限的软件仍然负责分配和管理领域使用的资源。但是,这种高级权限的软件无法访问域的内容或影响其执行流。
RME还可以动态地将内存传输到域的受保护地址空间。对于RME,可用于TrustZone软件实体的内存可以动态变化。
本指南描述RME引入或更改的主要硬件特性,并介绍给您到软件架构。
您将学习以下概念:
•了解RME系统中的新安全状态和物理地址(PA)空间
描述如何在PA空间之间动态分配内存区域
•了解支持rme的系统的系统需求
本指南解释了RME引入处理器体系结构的以下更改:
•额外的安全状态
•附加物理地址
•支持颗粒保护检查,允许颗粒的内存是动态的
分配给物理地址空间的
