[armv9]-ARMV9 CCA 机密计算简介
快速鏈接:
.
👉👉👉 個人博客筆記導讀目錄(全部) 👈👈👈
目錄
- 1、簡介
- 2、什么是機密計算?
- 3、機密計算Realms
- 4、動態Trustzone技術
1、簡介
Arm CCA 的愿景是在計算發生的任何地方保護所有數據和代碼,釋放數據和人工智能的力量和全部潛力。
Arm CCA 是一系列硬件和軟件架構創新的一部分,這些創新增強了 Arm 對機密計算的支持。 Arm CCA 是 Armv9-A 架構的關鍵組件,它將實現我們的目標,即為使用微處理器的每個行業領域釋放機密計算的好處。
下圖顯示了 Arm 機密計算架構的組件。
2、什么是機密計算?
信息必須始終受到保護,無論它處于靜止狀態(例如,由數據庫存儲在閃存中)、運動中(例如,網絡傳輸)還是在使用中(正在處理)。加密通常用于保護靜態和動態數據,但大多數數據必須在處理過程中解密。機密計算通過在硬件支持的安全環境中執行計算來顯著降低與處理數據相關的風險,該環境保護代碼和數據免受特權軟件和硬件代理的觀察或修改。
Arm CCA 建立在 Armv8-A 中已經廣泛使用的隔離技術之上。 Arm CCA 提供額外的安全架構,即使在使用中也能保護數據和代碼,并能夠更好地控制誰可以訪問數據和算法。這項在 Armv9-A 中引入的技術將通過降低與共享數據相關的風險并幫助開發人員實施強大的隱私控制來幫助釋放數據的真正力量和潛力。
Arm CCA 引入了兩項新功能:支持 Realms 和動態 TrustZone。
3、機密計算Realms
Arm 機密計算架構引入了 Realm Management Extension (RME),該擴展支持稱為Realm的新型可證明隔離環境。 該環境建立在 TrustZone Normal 和 Secure 世界上,增加兩個額外的世界,每個世界都有自己的安全狀態和專用的物理地址空間。 RME 還允許在運行時在世界之間移動內存,而新硬件會檢查每個內存訪問,阻止那些世界之間的隔離邊界不允許的訪問。
RME 保護主流計算工作負載,例如虛擬機或容器免受特權軟件和硬件代理的影響,包括hypervisor程序、普通世界內核甚至 TrustZone 應用程序。
好處:
-
非常適合保護在公共云環境和主機操作系統的安全性和完整性難以審核或保證的任何平臺中運行的工作負載。
-
數據和代碼不受任何平臺服務和其他執行環境的影響:
管理軟件,包括創建 Realm 的任何管理程序或內核
The host OS
Other Realms
Devices not trusted by the Realm -
Realm甚至受到 TrustZone 代碼的保護。
下圖顯示了 Realms、Normal 和 Secure 世界之間的關系:
4、動態Trustzone技術
除了支持 Realm 之外,Realm Management Extension 還允許在 Normal 和 Secure 世界之間按需移動內存。 這允許 TrustZone 使用的內存量根據給定用例動態擴展。 我們稱之為 Arm 動態 TrustZone 技術。
TrustZone 動態內存支持的好處:
- 更有效地利用寶貴的 DRAM
- 提高了使用 TrustZone 進行內存密集型操作的靈活性
- 例如媒體解碼、內容保護和機器學習模型的保護
總結
以上是生活随笔為你收集整理的[armv9]-ARMV9 CCA 机密计算简介的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 有关Non-cacheable,,Cac
- 下一篇: [reference]-ARM Term