1 armv9-动态Trustzone技术的介绍-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

armv9-动态Trustzone技术的介绍

冬至子 来源:Arm精选 作者:baron 2023-11-10 16:39 次阅读

背景

十多年来,TrustZone 一直在基于 Arm 的设备上成功保护媒体 pipelines 。在此期间,这些设备的要求随着比特率、分辨率、帧率、图像质量和用户界面创新而显着增长。所有这些都在突破最初的设计限制。

与此同时,近年来,许多消费类设备都经历了重大变革。他们正在从专用于单一服务的封闭设备转向兼容多种服务的开放设备。例如,电视不再仅用于观看广播电视频道。可安装的应用程序现在提供多种流媒体服务、浏览器、游戏、视频通话等。

满足这些用例会增加计算工作负载的复杂性和系统安全要求。在安全方面,我们看到多个数字版权管理 (DRM) 方案同时处于活动状态,并且它们之间存在不信任,因为它们处理来自具有不同安全要求级别的不同来源的受保护内容。这种对额外灵活性的需求推动了软件管理媒体 pipelines 的设计。

同时,内容提供商正在通过提高图像质量来提高性能要求。这增加了 pipelines 的处理步骤数量,并大大增加了设备上的内存消耗。 对高效内存使用的需求正在推动设计用于动态分配受保护内存的机制

动态 Trustzone

这就是 Arm 推出动态 TrustZone 的原因,这是一种创新的新设计模式,它是 TrustZone 系统演进道路上的下一步。该技术使用 Realm Management Extension (RME) 来提供一种架构机制,以在运行时在非安全和安全地址空间之间分配内存页面。

当应用于受保护的媒体 pipelines 时,动态 TrustZone 支持从今天的固定功能视频管道迁移到未来软件配置的动态媒体 pipelines。将动态 TrustZone 与安全虚拟化相结合的系统将支持软件配置的 pipelines、多个不信任 DRM、可选的机器学习 (ML) 加速器和动态资源分配。

然而,这些未来媒体管道的实际设计和实施需要整个生态系统的支持和参与。这超越了硬件,更广泛的生态系统的参与对于支持这些苛刻的新用户体验所需的所有软件组件和服务的接受和成功开发至关重要。

典型的安全媒体示例

在深入研究动态 TrustZone 之前,我们需要首先会议当今常见的媒体 pipelines。在 Arm 系统中实施的受保护媒体 pipelines 往往遵循 TrustZone 媒体保护 (TZMP) 定义的模式,如下图所示:

image.png

这些系统有一些共同的特点和局限性:

  • 固定的数据流和一组处理步骤,由特定于设备的软件或在 SoC 设计时定义。每个处理元件通常被限制为读取和写入预先确定的受保护内存缓冲区,并且不允许任意添加和删除设备。将完全可编程GPU 和 ML 引擎引入流水线可能从不可能到具有挑战性。
  • 受保护内容的受保护内存缓冲区的物理地址空间是连续的和预先分配的,或者是由受信任的管理程序分段和管理的。由于视频播放是许多设备的主要用例并且绝不能丢帧,因此不能与其他系统进程共享所使用的内存。随着分辨率和帧速率的提高,对内存要求的压力也随之增加,从而推高了整体系统成本。
  • 在要同时处理多个内容流的情况下,需要考虑它们之间的隔离。由于不同的安全要求,可能无法同时使用不同的 DRM 方案。

为了克服这些限制,我们确定未来受保护的媒体系统需要能够:

  • 使用碎片化的 4KB 页面动态分配和管理受保护的内存缓冲区。
  • 在多个管道和所有其他软件之间提供强大且安全的隔离。
  • 将设备和软件功能任意分配给 pipelines 。
  • 允许运行时主机软件按需创建和配置 pipelines 。

新的 Arm 安全和架构功能

在过去的十年中,Arm 一直在对 TrustZone 进行定期增强,以满足不断变化的安全要求。在宣布 Armv9 架构 (Armv9-A) 之前,我们通过添加安全虚拟化增强了 TrustZone 系统。在 Armv9-A 中,引入了 Realm Management Extension (RME) 作为 Arm 机密计算架构的一部分。

通过添加这些新的安全功能,现在有一个完整的集合,使系统设计人员能够实现未来受保护的媒体管道。让我们更深入地研究这些增强功能。

Secure virtualization

首先,让我们看看安全虚拟化。引入此功能是为了进一步划分安全世界,以允许存在多个可信操作系统 (TOS),隔离安全固件,此外还提供对 TOS 访问非安全内存的限制。

安全虚拟化通过在 TrustZone 环境中创建安全虚拟机来实现。安全世界中的这些虚拟机实例,通常称为 “安全分区”,使用第 2 阶段内存转换和保护相互隔离。当然,由于处于安全世界中,它们与非安全世界完全隔离。安全虚拟化是通过以下架构特性实现的:

  • Secure-EL2 是在 Armv8.4 架构中引入的,它是为执行隔离管理程序而创建的 CPU 异常级别,称为 “安全分区管理器”(SPM)。SPM 的作用是创建和管理多个 不信任安全分区 S-EL2 使用第 2 阶段内存转换和保护来强制分区之间的隔离。
  • SMMUv3.2 扩展了 Arm System MMU 架构,以支持系统中安全设备的安全第 2 阶段转换和保护。隔离管理程序可以将系统设备分配到安全分区的内存空间中。
  • GICv3.1 通用中断控制器包括对 S-EL2 的支持。来自安全系统设备的虚拟中断可以分配给安全分区。

我们应该注意到,在实践中,将安全设备分配给安全分区需要的不仅仅是内存与 SMMU 的映射以及 GIC 的中断。每个设备都必须在其操作状态方面表现良好,并支持标准管理界面,以便可以在系统内安全、正确地对其进行管理。

Realm Management Extension (RME)

作为 Arm 机密计算架构的一部分,Armv9-A 中的 RME 使内存页面能够从非安全世界动态转换到安全世界,然后再返回。这就是将 “动态” 放入动态 TrustZone 的原因。

RME 的一个称为 “Granule Protection Check” (GPC) 的组件提供了在非安全和安全世界之间动态分配内存的机制。Granule Protection table (GPT) 记录了 DRAM 每 4K 字节页面的世界分配。该表由 EL3 固件拥有和更新。在运行时,每次内存访问都由 GPC 针对 GPT 进行验证,确保 Non-secure 状态只能访问 Non-secure 内存,而 Secure 状态只能访问 Secure 和 Non-secure 内存。此检查是对 MMU 已经进行的 stage-1 和 stage-2 转换和权限检查的补充。

然后,基于 RME 构建的机密计算架构提供以下附加功能,可以增强动态 TrustZone 解决方案:

  • EL3 monitor 的固件分区和隔离,用于提供更强大的信任根 (RoT) 和证明服务。
  • 通过内存保护引擎对安全分配的 DRAM 中的所有数据进行加密。

Media Pipelines with Dynamic TrustZone

先前概述的架构特性允许系统设计人员迁移到具有多个软件定义的受保护媒体 pipelines 的动态 TrustZone 技术解决方案。它看起来像这样:

image.png

(1)、Secure virtualization
如绿框所示,安全虚拟化用于为每个 pipelines 创建受保护的内存空间。设备分配将系统设备(蓝色)带入管道,内存缓冲区(黑色)通过 GPT 机制分配给安全世界。在使用过程中,所有解密的媒体内容都保留在安全世界中。

(2)、Non-secure world
这包含媒体播放器和应用程序的用户界面。该软件负责按需为每个媒体 pipelines 构建清单,并在过渡到安全世界之前为其分配资源,例如内存和系统设备。

(3)、Secure Media Pipeline 1
本例中的 Pipeline 1 正在处理受保护的音频。处理步骤可由硬件设备或软件编解码器执行。一个例子是高级环绕声流,它使用专有编解码器来处理高价值的基于对象的音频内容。

(4)、Secure Media Pipeline 2

Pipeline 2 可以是 8K 优质内容电影,具有严格的 DRM 要求和稳健性规则,可确保视频和音频流与系统上的任何其他代理隔离。由于 8K 分辨率视频对其缓冲区的内存要求非常高,这可能是电视等设备的主要用例。非安全主机操作系统可能会主动从其他应用程序回收内存,以便在初始化播放时可以动态分配这些受保护的缓冲区。

解密步骤将使用专用加密加速器,解码专用视频引擎。例如,图片质量步骤可以由分配给该流水线的高性能 ML 引擎执行。

(5)、Secure Media Pipeline 3
Pipeline 3 可能是画中画新闻报道,可能具有与 Pipeline 2 不同的 DRM 系统。当启用流时,可以为该管道的受保护缓冲区动态分配内存,而不会中断 Pipeline 2。

(6)、Secure Media Output
最后,完全呈现的受保护内容被输出到显示面板或安全的 HDMI Link。

生态系统协作

动态 TrustZone 是提供多租户安全媒体 pipeline 的绝佳工具。完全不受操作系统、虚拟机管理程序和正常世界中任何可安装应用程序影响的 pipeline 。该解决方案还允许在正常环境中部署标准管理程序,而无需更改它们以支持 DRM。

但是,设计多租户安全媒体 pipeline 需要整个生态系统的支持和参与。这超出了硬件本身,因为多租户安全媒体管道可能会带来策略挑战,尤其是当两个不同的流媒体视频提供商对如何执行策略有不同的要求时。因此,受保护媒体管道的灵活性为细粒度信令和安全策略检查提供了机会,例如水印、元数据传输和内容识别,仅举几例。

可以通过 Content Delivery and Security Association (CDSA)、芯片供应商、OEM、OTT 服务提供商、内容创建者等行业组织来实现与生态系统的互动。他们都为对话带来了独特的观点和专业知识,通过这种协作努力为全球数百万用户带来了更丰富的媒体体验。

在 Arm,我们希望与我们伟大的生态系统合作,以解决我们共同构建的设备上的许多安全挑战。使用动态 TrustZone 的工作是可以在 Arm 生态系统内进行的安全合作的一个很好的例子。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • ARM技术
    +关注

    关注

    0

    文章

    22

    浏览量

    7286
  • DRM
    DRM
    +关注

    关注

    0

    文章

    46

    浏览量

    15108
  • 机器学习
    +关注

    关注

    66

    文章

    8406

    浏览量

    132553
  • trustzone
    +关注

    关注

    0

    文章

    20

    浏览量

    12535
  • GPU芯片
    +关注

    关注

    1

    文章

    303

    浏览量

    5804
收藏 人收藏

    评论

    相关推荐

    MHMF084L1U9M-MINAS A6N系列 介绍 松下

    德赢Vwin官网 网为你提供Panasonic(Panasonic)MHMF084L1U9M-MINAS A6N系列 介绍相关产品参数、数据手册,更有MHMF084L1U9M-MINAS A6N系列
    发表于 12-20 18:47
    MHMF084L1U<b class='flag-5'>9</b>M-MINAS A6N系列 <b class='flag-5'>介绍</b> 松下

    ARM技术是什么?国内有哪些ARM厂家呢?一起来了解一下!

    。通过采用动态功耗管理技术,如动态电压频率调控(DVFS)等,ARM处理器可以根据系统负载情况动态调整功耗水平,以达到性能和功耗的平衡。 高度可定制 :ARM提供IP核授权模式,芯片厂
    发表于 11-18 16:35

    Armv9 CPU中SVE2的实际用例

    随着每一代新产品的推出,Arm CPU 都会实现代际性能提升,并引入架构改进,以满足不断演进的计算工作负载的需求。本文将重点介绍三个用例,以展示 Armv9 CPU 的架构特性在实际场景中产
    的头像 发表于 10-21 09:54 360次阅读
    <b class='flag-5'>Armv9</b> CPU中SVE2的实际用例

    传感器的动态特性和静态特性参数介绍

    传感器的特性可以分为静态特性和动态特性两大类,这两类特性分别描述了传感器在不同输入条件下的输出响应特点。下面将详细介绍这两类特性的主要参数。
    的头像 发表于 09-29 16:24 1878次阅读

    跨越地理限制:动态海外住宅IP技术引领全球化网络新纪元

    跨越地理限制:动态海外住宅IP技术引领全球化网络新纪元这一主题,凸显了动态海外住宅IP技术在全球化网络环境中的重要作用。
    的头像 发表于 09-27 08:30 302次阅读

    在实际开发中,动态代理技术都是如何应用的?

    动态代理技术因其灵活性和强大的功能,在软件开发中被广泛应用,特别是在需要在运行时动态地改变对象行为的场景中。
    的头像 发表于 09-23 07:46 173次阅读

    一文弄懂实时动态载波相位差分技术和伪距差分技术的区别

    在全球导航卫星系统(GNSS)中,实时动态载波相位差分和伪距差分是常见的两种差分定位技术。这两种技术在定位精度、可用性和适用性等方面存在着一些明显的区别。本文将介绍实时
    的头像 发表于 09-13 11:14 1061次阅读
    一文弄懂实时<b class='flag-5'>动态</b>载波相位差分<b class='flag-5'>技术</b>和伪距差分<b class='flag-5'>技术</b>的区别

    simulink动态系统建模仿真-第9

    德赢Vwin官网 网站提供《simulink动态系统建模仿真-第9章.ppt》资料免费下载
    发表于 07-26 11:47 1次下载

    一文详解动态多点VPN技术

    引言 动态多点VPN(Dynamic Multipoint VPN)是mGRE、NHRP(Next Hop Resolution Protocol)、IPSec结合产生的一种技术,简写为DMVPN
    发表于 07-26 06:07

    STM32H5和STM32U5在trustzone上有哪些不同?

    我要做空调的空中升级FOTA的方案,需要加密,对于trustzone功能,采用那款芯片比较合适?STM32H5和STM32U5在trustzone上有哪些不同?
    发表于 07-05 07:03

    请问STM32L5和STM32H5对trustzone有哪些不同?

    STM32L5和STM32H5对trustzone有哪些不同?
    发表于 07-04 08:08

    移动端芯片性能提升,Armv9架构新升级引发关注

    “数码博主”5月17日的最新爆料指出,联发科积极推进Armv9新一代IP BLACKHAWK“黑鹰”的架构设计,预计天玑9400芯片将采用这一架构,有望以“全大核”设计再度领跑移动SoC CPU性能榜单。
    的头像 发表于 05-17 16:51 1006次阅读

    M9航空连接器8针动态接触电阻

    德索工程师说道为了准确评估M9航空连接器8针的动态接触电阻性能,需要采用合适的测试方法。通过四线测试法可以消除测试线电阻对测量结果的影响,提高测量精度。该方法需要在连接器的两端分别接入测试线,并测量电流和电压值,从而计算出动态
    的头像 发表于 05-16 15:32 300次阅读
    M<b class='flag-5'>9</b>航空连接器8针<b class='flag-5'>动态</b>接触电阻

    STM32H5 DA 之初体验(带 TrustZone)

    德赢Vwin官网 网站提供《STM32H5 DA 之初体验(带 TrustZone).pdf》资料免费下载
    发表于 02-19 14:19 0次下载
    STM32H5 DA 之初体验(带 <b class='flag-5'>TrustZone</b>)

    SAN的功率动态范围技术要求和测试方法

    今天我们继续学习SAN的功率动态范围技术要求和测试方法。看上去是功率的测试,实则与功率测量方法并不相同。
    的头像 发表于 01-22 09:30 1282次阅读
    SAN的功率<b class='flag-5'>动态</b>范围<b class='flag-5'>技术</b>要求和测试方法