ARM机密计算组件

安全之安全(security²)博客目录导读

目录

​一、硬件架构

1、RME

二、软件和固件架构

1、RMM

2、其他固件标准（例如PSCI）

三、开源实现

1、TF-A

2、Veraison

3、工具链

四、动态TrustZone技术

---

Arm机密计算架构(Arm CCA)引入了一系列硬件和软件创新，增强了Arm对大型计算密集型工作负载的机密计算的支持。下图显示了Arm机密计算架构的组件，下面对每个组件分别介绍。

一、硬件架构

领域管理扩展(Realm Management Extension, RME)支持在Arm处理元素上运行动态的、可验证的和可信的执行环境(Realms)。
RME还支持动态TrustZone技术。

1、RME

Arm CCA引入了领域管理扩展(Realm Management Extension, RME)，该扩展支持一类新的可证明隔离环境，称为Realm。RME是Arm CCA的硬件组件，它还包括软件元素。

本指南介绍了领域管理扩展(RME)，这是该体系结构的扩展。

二、软件和固件架构

Arm还创建了一个软件架构，该架构使用RME硬件功能来创建、保护和支持可以承载主流虚拟机镜像的机密计算环境的认证。

1、RMM

领域管理监视器(Realm Management Monitor, RMM)为管理机密计算环境的系统软件组件定义了一个体系结构，称为Realm(领域)。

2、其他固件标准（例如PSCI）

电源状态协调接口(Power State Coordination Interface, PSCI)提供用于控制领域内虚拟处理元素的电源状态的服务。

三、开源实现

架构规范的开源实现支持透明度和同行评审，有助于实现之间的互操作性，并减少实现时间。

1、TF-A

EL0监视器(现在可用)和领域管理监视器(即将推出)的参考实现。

2、Veraison

这个开放软件计划正在创建可用于构建支持多种体系结构的设备认证验证服务的软件。为了支持Arm CCA，对Veraison项目的贡献将开发实现Arm CCA认证模型的插件。Veraison的治理目前被转移到机密计算联盟。

3、工具链

Arm正在参与工具链项目，如LLVM，以确保对Arm CCA的全面支持。

LLVM 13.0.0引入了对领域管理扩展的支持。

该体系结构的模型实现现在也可用。

四、动态TrustZone技术

RME通过支持向安全环境动态分配和取消分配物理内存来增强启用的TrustZone。