本博客描述了Arm机密计算架构(Arm CCA)的固件和软件组件。
在这篇博客中,您将学到如何:
- 列出组成Arm CCA软件栈的组件集
- 了解Arm CCA引入新软件组件的原因
- 了解监视器和领域管理监视器(RMM)的角色
- 了解如何创建和管理领域
1.1 开始之前
我们假设您熟悉AArch64异常模型、AArch64内存管理、AArch64虚拟化以及Arm CCA的基本知识。关于这些主题的信息可以在以下指南中找到:
- AArch64异常模型介绍了AArch64的异常和特权模型。
- AArch64内存管理介绍了Arm虚拟内存系统体系结构(VMSA)。
- AArch64虚拟化描述了AArch64中的虚拟化支持。其中包括第2阶段翻译、虚拟中断和陷阱。
- 介绍Arm机密计算体系结构描述了机密计算的动机和要求,并概述了Arm CCA如何解决这些要求。
领域管理扩展(RME)是Arm CCA的硬件组件,它的一些特性也可以用于托管领域以外的目的。非领域用例超出了本文档的范围。有关RME如何实现更灵活的安全内存管理的详细信息,请参阅介绍Arm的动态TrustZone技术。
1.2 Arm CCA的目标
Arm CCA的主要目标是保留现有系统软件(如虚拟机监视器)管理虚拟机(VM)所需的硬件资源的能力,同时保护VM中正在使用的数据。为了实现此保护,Arm CCA引入了一个被保护的VM的概念,称为领域(Realm),并防止虚拟机监视器和其他特权软件及硬件代理观察或修改领域的内容。通过这种方式,Arm CCA将管理的权利与访问的权利分离,并且相对于领域,只授予虚拟机监视器管理权利
