Я изучаю i.MX53 QSB и расширения TrustZone. Я запускаю ОС в безопасном мире благодаря загрузчику U-Boot. Теперь я в безопасном мире. У меня три вопроса:
.. когда я должен разделить память и прерывания между безопасным и обычным миром?
Совместное использование памяти зависит от ваших системных требований/дизайна. Можно использовать smc только для использования регистров для обмена информацией. Никто не может дать общий ответ о совместном использовании памяти.
Делиться прерываниями редко имеет смысл. Вам понадобится водитель в обоих мирах. Весь смысл trustzone заключается в разделении оборудования.
Некоторое оборудование поддерживает зону доверия. То есть, он может изменить свой набор/представление регистров в зависимости от того, какой мир выполняется. Как правило, это оборудование имеет прерывание только для одного мира или отдельный номер прерывания. Если у вас нет устройства, поддерживающего trustzone, возможно, это глупая попытка.
..как я могу перейти в обычный мир, чтобы запустить на нем Rich OS?
Ну, это довольно просто, когда у вас есть режим монитора. Итак, из безопасной загрузки (возможно, из задачи/потока защищенной ОС)
NS, чтобы установить нормальный мир CP15.NS выполните переключение мира.Переключение мира зависит от дизайна вашей системы. Если бы операционная система безопасного мира использовала только регистры R0-R12, инструкции могли бы выглядеть так:
# NS bit is set.
msr spsr_fsxc, lr # mon_lr contains normal world mode, etc.
ldm sp, {r0 - r12, pc}^ # monitor 'sp' is a context pointer.
ldm rX, {xxx, pc}^ переключит режим. У монитора 'sp' может быть 13 нулей (для r0-r12), а затем обычная точка входа в мир для 'PC'. Монитор 'lr' будет иметь начальный режим (маскированное прерывание и т. д.) для обычного мира.
ПРИМЕЧАНИЕ. Это простой пример, не предназначенный для вашей конкретной ОС. Это только концептуально. Особенности зависят от конкретных требований ОС для нормального/безопасного мира. Как правило, вам нужно делать все то, что загрузчик делал бы для этой платформы/ОС без TrustZone. Кроме того, вам необходимо инициализировать все регистры во всех режимах. Вы можете не заботиться о регистрах, которые безопасный мир не использует (NEON/VFP), и оставить их в соответствии с загрузочными значениями по умолчанию; это более верно для фактического кода «переключателя мира».
... что касается кода режима монитора, где я должен его написать? Это модуль ядра в безопасном мире?
Режим мониторинга всегда будет ИСПОЛЬЗОВАТЬ регистры CP15 безопасный мир. Это означает, что режим монитора имеет представление MMU, кеш и т. д. защищенной ОС. Когда бит 'NS' установлен, а режим монитора выполняет mcr или mrc, он устанавливает обычные мировые регистры. Ну, технически это может быть «отдельно», вероятно, будет много взаимодействия между защищенной ОС и монитором. Опять же, это зависит от специфики. Существует много типов ОС (или мировых контекстов),
У вас есть перестановки вышеперечисленного как для безопасного, так и для обычного мира, и обработка переключения мира будет зависеть от требований обоих. Для наиболее сложного случая (упреждающий безопасный/обычный) вам потребуется интеграция планировщиков, зависящих от ОС.
ldm rX, {xxx, pc}^ несколько раз. smc используется для вызова из обычного мира в контролируемый-›безопасный мир. libboot-tz содержит файлы u-boot/arch/arm/lib/tz-secure*.S; это код для изучения. Он использует msr spsr_cxsf, #mode_SVC и movs pc,lr для первоначального вызова. Это не так эффективно, как мое предложение. Код монитора может использовать тот же переключатель контекста; но он настраивает коды обоих. Кроме того, я думаю, что эта настройка является режимом опроса безопасным миром/упреждающим нормальным режимом ОС. Это упрощает реализацию режима монитора. u-boot не является ОС.
- person artless noise; 10.04.2015
Думайте о коде безопасного монитора как о своего рода гипервизоре, который является посредником между защищенной ОС и незащищенной ОС. Как правило, это была бы какая-то автономная прошивка, которая в основном просто отправляет вызовы и прерывания в безопасную ОС - я полагаю, что технически ее можно сделать полностью интегрированной в безопасную ОС, но это мешает повторному использованию и открывает возможности. потенциал для гораздо большего количества дыр в безопасности, поэтому, как правило, настоятельно не рекомендуется.
Код монитора также должен нести единоличную ответственность за переключение мира - как только безопасная ОС запущена и запущена, она должна вызывать монитор, который устанавливает SCR.NS и выполняет возврат исключения в незащищенный мир для запуска. незащищенный загрузчик.
Что касается совместного использования ресурсов между безопасным и незащищенным, это полностью зависит от того, что вы хотите сделать — относительно простая безопасная полезная нагрузка, такая как программный TPM, может вообще не нуждаться в общих ресурсах; что-то вроде защиты контента полного пути включает передачу буферов и целых устройств между мирами и является гораздо более сложным.
