本博客介绍了领域管理扩展(RME),这是Arm的架构扩展。RME是Arm机密计算架构(Arm CCA)的硬件组件,同时包括软件元素。RME动态地将资源和内存转移到新的受保护的地址空间,高特权软件或TrustZone固件无法访问。由于存在这个地址空间,Arm CCA构建了受保护的执行环境,称为领域。
领域允许较低特权的软件(如应用程序或虚拟机)保护其内容。领域还防止了来自运行在更高特权级别的软件(如操作系统或hypervisor)的攻击。高特权软件仍负责分配和管理领域使用的资源。然而,这种更高特权的软件不能访问领域的内容或影响其执行流程。
RME还可以动态地将内存转移到领域的受保护地址空间。有了RME,TrustZone软件实体可用的内存可以动态变化。
本指南描述了RME引入或更改的关键硬件特性,并向您介绍了软件架构。您将了解以下概念:
本指南解释了RME引入到处理器架构中的以下更改:
【注意】:多样性和包容性是Arm的重要价值观。因此,我们正在重新评估文档中使用的术语。较早的Arm文档使用主/从(master/slave)这样的术语。
本指南使用以下替代术语: