TrustZone学习笔记

于 2024-10-11 13:45:58 发布
阅读量757 收藏 16
点赞数 13
文章标签: 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/repetone/article/details/142850881
版权

(个人学习笔记)
转载:https://blog.youkuaiyun.com/zhajio/article/details/83622310

TrustZone实现原理

TrustZone在概念上将SoC的硬件和软件资源划分为安全(Secure World)和非安全(Normal World)两个世界,所有需要保密的操作在安全世界执行(如指纹识别、密码处理、数据加解密、安全认证等),其余操作在非安全世界执行(如用户操作系统、各种应用程序等),安全世界和非安全世界通过一个名为Monitor Mode的模式进行转换,如图1:
在这里插入图片描述
处理器架构上,TrustZone将每个物理核虚拟为两个核,一个非安全核(Non-secure Core, NS Core),运行非安全世界的代码;和另一个安全核(Secure Core),运行安全世界的代码。

总线设计

TrustZone 在系统总线上针对每一个信道的读写增加了一个额外的控制信号位,这个控制位叫做Non-Secure或者NS位,是AMBA3 AXI总线针对TrustZone作出的最重要、最核心的扩展设计。

这个控制信号针对读和写分别叫做ARPORT[1]和AWPORT[1]:

  • ARPROT[1]: 用于读操作(Read transaction), 低表示Secure, 高表示Non-Secure
    AWPROT[1]: 用于写操作(Write transaction), 低表示Secure,高表示Non-Secure
    非安全世界的主设备(Non-Secure masters)在操作时必须将信号的NS位置高,而NS位置高又使得其无法访问总线上安全世界的从设备(Secure Slaves),简单来说就是对非安全世界主设备发出的地址信号进行解码时在安全世界中找不到对应的从设备,从而导致操作失败。

处理器设计

TrustZone中,每个物理处理器核被虚拟为一个安全核(Secure)和一个非安全核(Non-Secure),安全核运行安全世界的代码,非安全核运行除安全世界外的其它代码。由于安全世界和非安全世界的代码采用时间片机制轮流运行在同一个物理核上,相应的节省了一个物理处理器核。

内存设计

MMU是地址翻译器:把虚拟地址翻译为物理地址
安全世界和非安全世界都有自己的虚拟MMU,各自管理物理地址的映射。实际上只是两个世界都有一份TTBR0、TTBR1、TTBCR寄存器,因此就会对应两个MMU表。
尽管MMU有两套,但TBL缓存硬件上只有一套,因此TBL对于两个世界来说是共享的,其通过NS位来标志其每一项具体属于哪一个世界。这样在两个世界间进行切换时不再需要重新刷新TLB,提高执行效率。

中断设计

同TLB类似,硬件上两个世界共享一套Cache,具体的Cache数据属于哪一个世界也由其NS位指定,在世界间切换也不需要刷新Cache。

系统模式切换详解

非安全世界转到安全世界,得先通过Mointor Mode。
为什么安全模式和非安全模式不能直接切换?
协处理器CP15的寄存器SCR(Secure Configuration Register)有一个NS位用于指示当前处理器位于哪一个世界,该寄存器在非安全世界是不能访问的。当CPU处于Monitor Mode时,无论NS位是0还是1,处理器都是在安全世界运行代码。因此Monitor Mode下总是安全世界,但如果此时NS为1,访问CP15的其它寄存器获取到的是其在非安全世界的值。
非安全世界无权访问CP15的SCR寄存器,所以无法通过设置NS来直接切换到安全世界,只能先转换到Monitor Mode,再到安全世界。
如果软件运行在安全世界(非Monitor Mode)下,通过将CP15的NS位置1,安全世界可以直接跳转到非安全世界,由于此时CPU的流水线和寄存器还遗留了安全世界的数据和设置,非安全模式下的应用可以获取到这些数据,会有极大的安全风险。因此,只建议在Monitor Mode下通过设置NS位来切换到非安全模式。(MonitorMode为什么就可以直接转到安全世界?对MonitorMode描述不够完整)

非安全世界到MonitorMode详解

还没搞懂

MonitorMode到安全世界详解

还没搞懂

非安全世界到Monitor模式的切换方法:

处理器从非安全世界进入Monitor Mode的操作由系统严格控制,而且所有这些操作在Monitor Mode看来都属于异常。 从非安全世界到Monitor Mode的操作可通过以下方式触发:

软件执行SMC (Secure Monitor Call)指令
硬件异常机制的一个子集(换而言之,并非所有硬件异常都可以触发进入Monitor Mode),包括:
IRQ
FIQ
external Data Abort
external Prefetch Abort

repetone
关注
Trustzone/TEE/安全 面试100问-目录
baron-周贺贺-代码改变世界ctw
06-05 507
关键词:cache学习、mmu学习、cache资料、mmu资料、arm资料、armv8资料、armv9资料、 trustzone视频、tee视频、ATF视频、secureboot视频、安全启动视频、selinux视频,cache视频、mmu视频,armv8视频、armv9视频、FF-A视频、密码学视频、RME/CCA视频、学习资料下载、免费学习资料、免费 周贺贺,baron,代码改变世界ctw,Arm精选, 资深安全架构专家,十年手机安全/SOC底层安全开发经验。擅长trustzone/tee安全产品的设计
Trustzone/TEE学习方法资料汇总
baron-周贺贺-代码改变世界ctw
05-27 1298
Trustzone/TEE Quick Start资料汇总 TODO
浅谈trustzone技术
05-20
详细描述基于armv8+optee的trustzone技术实现框架,开发环境搭建及核心代码剖析。
简谈高通Trustzone实现
云守护的专栏
10-07 7263
从trust zone之我见知道,支持trustzone的芯片会跑在两个世界。 普通世界、安全世界,对应高通这边是HLOS,QSEE。 如下图:   如下是HLOS与QSEE的软件架构图     HLOS这两分为kernel层,user层。user层的通过qseecom提供的API起动trustzone那边的app。 qseecom driver 除了提供API,还调用sc...
对ARM的TrustZone理解
YGguang的专栏
04-03 3360
对ARM的TrustZone理解(http://gnunu-embedded.blogspot.com/2009/04/armtrustzone.html) TrustZone是ARM对ARM6的扩展,其实只是增加了一条指令,一个配置状态位,以及一个新的有别于核心态用户态的安全态。ARM并没有把TrustZone设计成能够解决所有的安全问题,它的目标是希望TrustZone能把
ARM安全技术-使用TrustZone技术构建安全系统(翻译)
生活需要深度
08-21 1051
本章提供了一些与嵌入式系统安全相关的背景知识。本章包括以下部分:•什么是安全?第1-2页•第1-4页的安全需求•威胁是什么?第1-6页在常抽象的术语中,术语security可用于涵盖设计的许多常不同的基本特性。但是,它本质上是系统的一个属性,确保有价值的资源不会被复制、损坏,或者让真正的用户无法使用。每个系统设计都需要一组不同的安全属性,这取决于它试图抵御恶意攻击的资产的类型价值。资产值得保护的有价值的资源。
TrustZone初探 (三)
u011279649的专栏
03-20 2186
ARM网站上有个trustzone helloworld的例子,据说可以在fast model上模拟运行。我没去试,而是直接拿过来移植到自己的平台上,在u-boot下实现了。 代码在这:. 在我的例子里,u-boot本身就是在安全世界下运行的,所以我只要实现一个命令来做安全初始化,再写一个小的normal程序,先load normal程序到DDR,在执行这个命令设置安全环境,然后直
ARM TrustZone技术解析:构建嵌入式系统的安全扩展基石_arm trust zone
最新发布
2401_84150530的博客
04-20 1234
首页,在软件架构的设计中,就分为: Non-secure EL0&1 Transslation Regime Secure EL0&1 Transslation Regime,即normal worldsecure world侧使用不同的Transslation Regime;即secure的页表可以映射non-secure或secure的内存,而non-secure的页表只能去映射non-secure的内存,否则在转换时会发生错误。铁黄 iron oxide yellow。
ARM trustzone的安全扩展介绍-一篇就够了
baron-周贺贺-代码改变世界ctw
10-29 9233
1、ARM Trustzone的安全扩展简介 ARM Trustzone是什么? ARM Trustzone不具体指一个硬件,也不是一个软件,而是一套技术一套标志,在支持ARM Trustzone的SOC中,需按照ARM Trustzone技术对各个子模块进行设计。 (1)、AMBA-AXI总线的扩展, 增加了标志secure读写地址线:AWPROT[1]ARPROT[1] (2)、processor的扩展(或者说master的扩展),在ARM Core内部增加了SCR.NS比特位,这样ARM Co
ARM TrustZone技术解析:构建嵌入式系统的安全扩展基石_arm trust zone(2)
2401_84150530的博客
04-20 899
首页,在软件架构的设计中,就分为: Non-secure EL0&1 Transslation Regime Secure EL0&1 Transslation Regime,即normal worldsecure world侧使用不同的Transslation Regime;即secure的页表可以映射non-secure或secure的内存,而non-secure的页表只能去映射non-secure的内存,否则在转换时会发生错误。如下列出了一些安全相关的架构。
防火墙中的DMZ区域,Trust区域,Untrust区域
冷鞘-的博客
07-01 5万+
** 区域的作用: ** 1.安全策略都基于区域实施 2.在同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区域,而一个区域可以有多个接口。 ** DMZ区域, ** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务
防火墙安全区域
是江涛呀的博客
03-27 4823
防火墙的安全区域 安全区域是一个或几个接口的集合,对流量的检测是基于安全区域的而接口 防火墙的默认模式如上图所示 创建新的区域的命令是[USG6000V1]firewall zone name 123 查看新创建的区域 发现已经建立了新的安全区域123 安全区域配置 firewall zone trust //进入安全区域 set priority 85 //设置安全区域优先级 add interface GigabitEthernet0/0/0 add interface Gigab
trust zone 学习
wenyi_leo的博客
04-16 1146
如果软件运行在安全模式(Monitor Mode)下,通过将 CP15 的 NS 位设置 1,安全世界可以直接跳转到安全世界,由于此时 CPU 的流水线寄存器还遗留了安全世界的数据设置,安全模式下的应用可以获取到这些数据,会有极大的安全风险。然后安全世界的 bootloader 会加载安全世界的 OS,完成整个系统的启动。由于 TZPC 可以在运行时动态设置,这就决定了外设的安全特性是动态变化的,例如键盘平时可以作为安全的输入设备,在输入密码时可以配置为安全设备,只允许安全模式访问。
物联网安全-基于Cortex-M处理器的TrustZone技术简介(2)
m0_48157040的博客
09-04 1190
物联网安全-基于Cortex-M处理器的TrustZone技术简介(2) Secure/Non-secure转换 之前介绍了如何利用SAUIDAU配置一块内存区域的安全属性,用户可以在安全区安全区定义相应的函数,TrustZone技术允许两种状态下的函数相互调用,在进行相互调用时需要用到几个特殊指令:SG、BXNS、BLXNS, 如下表所示。 执行状态切换时的具体操作如下图所示: SG指令:用于从安全状态切换到安全状态,是从安全区跳转到NSC区域之后执行的第一条指令。 BXNS指令: 用于从安
什么是防火墙zone区域策略
雷小莫_code
08-02 635
local: 本地区域,防火墙设备本身,比如说 防火墙ping 其他设备 ,发送出去的流量就是本身 ,比如g0/0/4访问g0/0/8 fmz->funnet 策略允许( permit)配置防火墙时,可以将多个接口划分到一个区域,区域间的流量通过防火墙策略控制,比如local 访问g0/0/8 就需要local->funnet策略允许。untrust: 为信任区域 ,比如说互联网,外部对接网络,如果配置策略嫌弃麻烦,那么可以策略允许所有,通常称为裸奔墙,DMZ:交火区域,比如说服务器,认证设备。
防火墙
qq_46258964的博客
03-25 405
防火墙安全区域: trust 授信任区域 安全级 85 内网的区域 DMZ 军事化区域 安全级 50 放置服务器区域 untrust 军事化区域 安全级别 5 表示互联网流量 local 设备自身 安全级别 100 表示的是从设备自身发起的流量 或者到达设备的流量 基本配置思路 进入防火墙接口:配置IP地址 防火墙接口配置访问控制管理 将防...
一篇了解TrustZone
热门推荐
洛奇看世界
09-18 8万+
这篇文章源于老板想了解TrustZone,要求我写一篇文章简单介绍TrustZone的原理。既然是给领导看的,只介绍原理哪里够,因此也添加了公司自己现有TEE环境的设计、实现发展,也顺带加入了一些题外话。也是因为要给领导看,所以文章也不能涉及太多技术细节,包括TrustZone模块的详细设计以及示例代码等,所以只从总体上讲解了什么是TrustZoneTrustZone是如何实现安全隔离的、Tr...
TrustZone——Android的救星?
TrustZone领域先行者
11-08 2万+
背景知识 安卓手机太不安全了。我觉得敢在安卓手机上,使用手机银行的算是勇者了吧。在安卓手机上,如果root了,基本上没有秘密可言了。各大公司的APP,各个比较好用的APP或游戏,都会获取到很多游戏。做研发的同事都明白,为什么开发个跟通讯录一点关系没有的软件就要访问通讯录?微博,微信,360哪个不是?哪个程序都在后台悄悄的运行着几个线程。也许说的夸张,其实99%的android开发者应该都明白。相
基于GD32W51x MCU Trust Zone安全机制学习总结
qq_31446727的博客
12-26 4077
MCU TrustZone 安全机制学习总结
armv8架构与指令集.学习笔记
08-18
armv8架构是一种新一代的ARM架构,它引入了许多新的特性指令集,提供了更高的性能更好的能效。 首先,armv8架构支持AArch64执行状态,这是一种64位执行状态,相比之前的32位执行状态,具有更大的寻址空间更强大的计算能力。这使得armv8架构能够处理更复杂的任务,并支持更多的内存存储器。 其次,armv8架构引入了更丰富强大的指令集。除了传统的ARM指令集(A32),armv8还引入了AArch64指令集,这是一种面向64位执行状态的指令集。AArch64指令集拥有更多的通用寄存器、更丰富的数据处理指令更高级的SIMD指令,可以提供更好的性能更高的并行度。 此外,armv8架构还支持虚拟化技术,可以在一个处理器上同时运行多个虚拟机,并实现隔离保护各个虚拟机之间的资源。 最后,armv8架构还引入了TrustZone技术,提供了硬件级别的安全保护。TrustZone可以将处理器分为安全区普通区,保护敏感数据运行安全代码。这为安全性要求较高的应用场景提供了硬件级别的保障。 总之,armv8架构与指令集的学习需要掌握其基本概念、特性应用场景,以便能够充分发挥其优势特点,在实际开发中提升效率性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值