虚拟化之安全虚拟化

虚拟化首次引入是在Armv7-A架构中。那时,Hyp模式(在AArch32中相当于EL2)仅在非安全状态下可用。当Armv8.4-A引入时,添加了对安全状态下EL2的支持作为一个可选特性。

当处理器支持安全EL2时,需要使用SCR_EL3.EEL2位从EL3启用该处理器。设置此位将启用进入EL2,并启用在安全状态下使用虚拟化功能。

在安全虚拟化可用之前,EL3通常用于托管一些混合了安全状态切换软件和平台固件的功能。这是因为我们希望最小化EL3中的软件数量,以便更容易保护EL3。安全虚拟化使得我们能够将平台固件移到EL1。虚拟化提供了用于平台固件和受信任内核的单独的安全分区。以下图表阐明了这一点:

安全EL2和两个中间物理地址空间

Arm架构定义了两个物理地址空间:安全(Secure)和非安全(Non-secure)。在非安全状态下,虚拟机(VM)的第一阶段翻译的输出始终是非安全的。因此,第二阶段需要处理单一的中间物理地址(IPA)空间。

在安全状态下,VM的第一阶段翻译可以输出安全和非安全地址。NS位在翻译表描述符中控制输出安全空间还是非安全空间。如下图所示,这意味着第二阶段有两个IPA空间,分别是安全和非安全:

与第一阶段表不同,第二阶段表条目中没有NS位。对于特定的IPA空间,所有的翻译结果要么是安全物理地址,要么是非安全物理地址。这个翻译由一个寄存器位来控制。通常,非安全的IPA翻译为非安全的PA,而安全的IPA翻译为安全的PA。

相关推荐
凉、介44 分钟前
Virtio 系列(一):框架概览
笔记·学习·嵌入式·虚拟化·virtio
techdashen2 天前
从软件到硅片:Uber、OCI 与 Ampere 如何联合优化 AmpereOne M A4 计算实例
arm
spider_xcxc3 天前
云上网络基石(阿里云):深入解读阿里云VPC及其应用生态
网络·阿里云·云计算·k8s·运维开发·虚拟化
toradexsh4 天前
基于 NXP i.MX8M Plus 测试 Zephyr RTOS
arm·rtos·nxp·imx8mp·zephyr
Quincy_Freak4 天前
银河麒麟 SQLite 实操:Excel 导入与 SQL 语法编辑功能详解摘要
数据库·arm·数据库管理·大数据分析·银河麒麟·aarch64·sqlitego
Quincy_Freak6 天前
信创内网数据规范实践:银河麒麟下SQLite本地数据安全管理方案
数据库·sqlite·arm·数据库管理·大数据分析·银河麒麟·aarch64
凉、介6 天前
ARMv8 架构下的刷 Cache 操作
c语言·笔记·学习·架构·嵌入式·arm
灵朔科技7 天前
当Hypervisor遇上车规MCU:软件定义安全分区的边界与可能
虚拟化·功能安全·hypervisor·车规mcu·asil-d·risc-v h扩展·混合关键性
奔跑的架构师7 天前
[A-48]ARMv9/v8-电源状态管理机制(PSCI协调机制)
android·linux·arm开发·arm
凉、介7 天前
KVM + QEMU 虚拟化
笔记·学习·嵌入式·arm·qemu·虚拟化·kvm