快速连接
👉👉👉【精选】ARMv8/ARMv9架构入门到精通-目录 👈👈👈
1、简介
Arm CCA 的愿景是在计算发生的任何地方保护所有数据和代码,释放数据和人工智能的力量和全部潜力。
Arm CCA 是一系列硬件和软件架构创新的一部分,这些创新增强了 Arm 对机密计算的支持。 Arm CCA 是 Armv9-A 架构的关键组件,它将实现我们的目标,即为使用微处理器的每个行业领域释放机密计算的好处。
下图显示了 Arm 机密计算架构的组件。
2、什么是机密计算?
信息必须始终受到保护,无论它处于静止状态(例如,由数据库存储在闪存中)、运动中(例如,网络传输)还是在使用中(正在处理)。加密通常用于保护静态和动态数据,但大多数数据必须在处理过程中解密。机密计算通过在硬件支持的安全环境中执行计算来显着降低与处理数据相关的风险,该环境保护代码和数据免受特权软件和硬件代理的观察或修改。
Arm CCA 建立在 Armv8-A 中已经广泛使用的隔离技术之上。 Arm CCA 提供额外的安全架构,即使在使用中也能保护数据和代码,并能够更好地控制谁可以访问数据和算法。这项在 Armv9-A 中引入的技术将通过降低与共享数据相关的风险并帮助开发人员实施强大的隐私控制来帮助释放数据的真正力量和潜力。
Arm CCA 引入了两项新功能:支持 Realms 和动态 TrustZone。
关注"Arm精选"公众号,备注进ARM交流讨论区。
添加vx : arm_2023,备注进ARM交流讨论区。
3、机密计算Realms
Arm 机密计算架构引入了 Realm Management Extension (RME),该扩展支持称为Realm的新型可证明隔离环境。 该环境建立在 TrustZone Normal 和 Secure 世界上,增加两个额外的世界,每个世界都有自己的安全状态和专用的物理地址空间。 RME 还允许在运行时在世界之间移动内存,而新硬件会检查每个内存访问,阻止那些世界之间的隔离边界不允许的访问。
RME 保护主流计算工作负载,例如虚拟机或容器免受特权软件和硬件代理的影响,包括hypervisor程序、普通世界内核甚至 TrustZone 应用程序。
好处:
非常适合保护在公共云环境和主机操作系统的安全性和完整性难以审核或保证的任何平台中运行的工作负载。
- 数据和代码不受任何平台服务和其他执行环境的影响:
管理软件,包括创建 Realm 的任何管理程序或内核
The host OS
Other Realms
Devices not trusted by the Realm- Realm甚至受到 TrustZone 代码的保护。
下图显示了 Realms、Normal 和 Secure 世界之间的关系:
4、动态Trustzone技术
除了支持 Realm 之外,Realm Management Extension 还允许在 Normal 和 Secure 世界之间按需移动内存。 这允许 TrustZone 使用的内存量根据给定用例动态扩展。 我们称之为 Arm 动态 TrustZone 技术。
TrustZone 动态内存支持的好处:
- 更有效地利用宝贵的 DRAM
- 提高了使用 TrustZone 进行内存密集型操作的灵活性
例如媒体解码、内容保护和机器学习模型的保护
关注"Arm精选"公众号,备注进ARM交流讨论区。
