卢鸿波-security²-安全二次方

整个用于 CCA 的软件栈仍在开发中，这意味着指令会频繁更改，且仓库可能是临时的。有关手动编译该栈以及从 OP-TEE 构建环境编译的指令，均基于 Ubuntu 22.04 LTS 系统编写。

本博客介绍与 SMMU 相关的一些系统架构注意事项

一、Stage 1使用场景1、Scatter-gather2、64 位操作系统中的 32 位设备3、操作系统设备隔离4、用户空间设备驱动程序5、用户空间共享虚拟地址 (SVA)

一、第二阶段用例Stage 2 use cases1、虚拟机设备分配2、带客户操作系统 SMMU 功能的虚拟机设备分配3、媒体保护4、主机隔离

FEAT_RME（简称RME）是Armv9-A的一项扩展，也是Arm Confidential Compute Architecture（Arm CCA）的一个组成部分。从TF-A版本2.6开始支持RME。本博客讨论了TF-A对RME的支持所涉及的更改，并提供了如何构建和运行启用RME的TF-A的说明。

一、全局错误二、最小配置

如果发生一组配置错误和故障，这些将记录在事件队列中。这些错误和故障包括因设备流量引发的事件，例如：1、当收到设备流量时，发现配置错误2、因设备流量地址引发的页面错误每个安全状态都有一个事件队列。当事件队列从空状态变为非空状态时，SMMU会生成一个中断。队列的结构与命令队列相同，唯一的不同在于生产者和消费者的角色是相反的。在命令队列中，SMMU是消费者；而在事件队列中，SMMU是生产者。

SMMU通过内存中的循环命令队列进行控制。例如，当软件更改STE或翻译时，需要在SMMU中失效相关缓存。这可以通过向命令队列发出相应的失效命令来实现。有关命令类型的详细信息，请参见“命令”部分。在SMMUv3.3之前，每个安全状态只有一个命令队列。支持SMMUv3.3的SMMU可以选择支持多个命令队列，以减少多个处理器元素（PE）同时向SMMU提交命令时的争用。

一、虚拟机结构（VMS）二、缓存

CD（上下文描述符）存储与一级转换相关的所有设置，每个CD占用64字节。CD的指针来自STE，而非寄存器。仅在执行一级转换时需要CD。对于仅需二级转换或绕过的流，仅需STE。CD将StreamID与一级转换表的基地址相关联，以便将虚拟地址（VA）转换为中间物理地址（IPA），适用于每个二级配置。若使用子流，则多个CD表示多个一级转换，每个子流对应一个CD。当一级转换未启用时，带有子流ID的事务将被终止。

一、一级流表描述符（L1 Stream Table Descriptor）二、流表项（STEs）

SMMU使用一组内存中的数据结构来定位翻译数据，详见“转换过程概述”（Translation process overview）。SMMU_(*_)STRTAB_BASE 存储初始结构（流表，Stream Table）的基地址。流表项（Stream Table Entry, STE）包含二级（Stage 2）转换表的基址指针，同时也定位一级（Stage 1）配置结构，这些配置结构包含转换表的基址指针。传入事务的 StreamID，由 SEC_SID 进行限定，决定了用于查找的流表，并定位相应的STE。

本博客介绍了SMMUv3的编程接口：• SMMU寄存器• 流表（Stream table）• CD（Context Descriptor）• 事件队列（Event queue）• 命令队列（Command queue）大部分配置存储在内存结构中，因此软件必须为这些结构分配内存。然而，部分配置存储在SMMU寄存器中，例如每个结构的地址和大小。

SMMU软件指南操作之ATS地址转换服务和PRI页面请求接口

​本篇博客，我们聚焦RISC-V 2024中国峰会上RISC-V的一个HSM（Hardware Security Module）实现方案，来自芯来科技王松老师。关于RISC-V TEE(可信执行环境)的相关方案，如感兴趣可参考RISC-V TEE(可信执行环境)方案初探

本篇博客，我们聚焦RISC-V 2024中国峰会上RISC-V虚拟化相关专题中的IOMMU虚拟化在X100芯片上的实现，来自进迭时空郑律老师。

本篇博客，我们聚焦RISC-V 2024中国峰会上RISC-V虚拟化相关专题中的IOMMU虚拟化在云数据中心上的探索与应用，来自中移刘亚南老师

本篇博客，我们聚焦RISC-V 2024中国峰会上的RISC-V和OP-TEE结合的一个安全系统实践，来自芯来科技桂兵老师。关于RISC-V TEE(可信执行环境)的相关方案，如感兴趣可参考RISC-V TEE(可信执行环境)方案初探。

访问标志和脏状态通常与动态分页的概念相关，在动态分页中，操作系统或虚拟机管理程序在 DRAM 和二级存储之间移动页面。这种机制允许软件在有限的 DRAM 空间中进行最佳利用。

SMMU软件指南操作之故障模型和绕过模式

1、流安全性2、流标识2.1 什么是 StreamID？2.2SubstreamID 的作用

SMMU软件指南操作之翻译过程概述

本博客描述了 ARM 系统内存管理单元（SMMUv3）的基本操作及其使用案例，包括：• SMMU 架构概念、术语和操作• 与 SMMU 功能相关的系统级考虑因素• 典型 SMMU 使用案例的知识

第四届 RISC-V 中国峰会（RISC-V Summit China 2024）于8月21日至23日在杭州成功举办。此次峰会汇聚了 RISC-V 国际基金会、百余家重点企业及研究机构，约3000人线下参与，并在19日至25日间举办了超过20场同期活动，与全球开发者共同探讨 RISC-V 的最新进展与未来走向。

2024 RISC-V 中国峰会 演讲幻灯片和视频回放

本节规定了RME系统的功耗管理规则。功耗管理流程定义了系统及其组件如何在各种电源状态之间进行转换，以及如何执行与此相关的操作，如切断电源域和管理上下文。本章节描述的RME电源管理要求包括以下内容：防止通过电源管理操作（例如，由于上下文丢失）破坏RME的安全保障。最小化RME对电源管理功能和系统功耗的影响。

本节中，“RMSD外部调试”一词用于描述任何系统或PE的外部调试功能，这些功能能够实现以下目的：监控或修改RMSD行为。对Realm PAS或Realm安全状态的外部访问。本节中，“Root外部调试”一词用于描述任何系统或PE的外部调试功能，这些功能能够实现以下目的：监控或修改MSD行为。对Root PAS或Root安全状态的外部访问。

本节描述了初始化RME系统的要求。目录一、复位需求二、RME禁用

一、在传统系统中使用RME IP1、传统系统中的外设隔离二、在RME系统中使用传统IP三、内存热插拔四、多芯片系统1、链路保护2、多芯片RME系统初始化

本博客提供了RME系统初始化流程的示例，并描述了系统组件之间的关系以及系统启动序列的相应安全注意事项，不包括有关安全启动序列或软件测量流程的具体细节。

ARM-V9 RME(Realm Management Extension)系统架构之系统安全能力的架构差异

本博客探讨RME 所需系统能力的执行隔离，以保证 Arm CCA 对于 Realms 的安全性和隔离特性。

本博客探讨RME 所需系统能力的内存隔离和保护，以保证 Arm CCA 对于 Realms 的安全性和隔离特性。

ARM架构安全手册提供了使用 Arm RAS 架构在处理单元（PE）和系统组件中实现 RAS 的要求。本节为本规范中描述的系统组件提供了附加规则。

ARM-V9 RME(Realm Management Extension)系统架构之系统安全能力的MPAM

ARM-V9 RME(Realm Management Extension)系统架构之系统安全能力的MTE

ARM-V9 RME(Realm Management Extension)系统架构之系统安全能力的侧信道抵御

本节定义了系统架构必须支持的一般安全属性和能力，以确保RME安全性。 本章扩展了可能属于系统认证配置文件的一部分的其他安全规范，例如基于信任的系统架构。

一、系统隔离属性1、系统配置完整性1.1、时间隔离2、关键错误的报告

本博客探讨RME 所需系统能力的设备隔离和保护，以保证 Arm CCA 对于 Realms 的安全性和隔离特性。