Realm Management Monitor 规范详解

"Realm Management Monitor 手册 - 版本 1.0-eac5" Realm Management Monitor 是一个针对 TrustZone 技术的监控工具，它主要用于管理安全域（Realm）和确保系统的安全性。TrustZone 是 Arm 架构中的一种硬件级别的安全技术，它通过将系统划分为两个独立的安全状态——安全世界（Secure World）和非安全世界（Non-Secure World），以提供对敏感数据和操作的隔离保护。 手册中的文档编号为 DEN0137，表明这是 Realm Management Monitor 的特定规格说明，质量级别为 EAC，可能代表工程评估或认证阶段。版本号为 1.0-eac5，意味着这是该文档的第 1.0 版本，经过了 EAC 阶段的修订。文档的保密性标记为非机密，因此可以公开分享。构建信息显示文档是在 doctool 0.54.0-rc1 版本下生成的，并且版权属于 Arm Limited 或其关联公司。 文档的主要更新和澄清包括： 1. Attestation Token 流程的修正（FENIMORE-718）：这涉及到 Realm Management Monitor 如何验证和处理证明令牌（Attestation Token）的过程，可能涉及到安全域间的信任验证机制。 2. 定义了当主机拒绝 Realm Identity and Policy Assignment (RIPA) 更改请求时的行为（FENIMORE-719）：这有助于确保在系统中正确处理权限变更请求，防止未授权访问。 3. 用 Granule::gpt 替换 Granule::pas 属性（PAS 是内存访问的属性，而不是 Granule 的属性）：这可能涉及到内存管理策略的调整，确保安全世界和非安全世界之间的数据访问控制更加精确。 文档中还修复了一些缺陷： 1. RMI, RSI_VERSION：明确了返回接口版本的规则，并提供了示例。之前的一个规则是如果返回码为 SUCCESS，则后续对该接口的调用应遵循返回的接口版本行为，现在这个规则已被移除，可能因为导致了不必要的复杂性。 2. 指定 SMCCC（Secure Monitor Call Counters and Configuration）寄存器未定义为命令输入/输出值时，应视为 SBZ（Software Behavior Zero，软件行为零）和 MBZ（Must Be Zero，必须为零）：这意味着这些寄存器在不使用时必须保持清零，以避免错误或恶意行为。 3. RSI_ATTESTATION_TOKEN_INIT：设定了令牌大小的上限（FENIMORE-720）：这有助于限制证明令牌的大小，防止潜在的安全漏洞或性能问题。 4. RMI_DATA_CREATE：将 RIPAS=RAM 移动到其他位置：这可能是为了优化数据创建过程，确保 Realm 内存分配的正确性和安全性。 手册的这些内容对于理解 Realm Management Monitor 在 TrustZone 环境中的运作方式、如何维护安全域之间的边界以及如何处理安全通信至关重要。这对于开发者、安全研究人员和系统架构师来说是极其重要的参考资料。