12.4 内存隔离与保护

1. 内存隔离基础概念

1.1 安全与非安全内存划分

• TrustZone地址空间控制器(TZASC)：硬件级内存区域划分机制
• 内存区域属性：安全(Secure)/非安全(Non-secure)、特权(Privileged)/用户(User)
• 动态重配置：运行时通过TZASC寄存器动态调整安全属性

1.2 颗粒度控制

• 区域划分颗粒度（通常4KB-1GB）
• 保护检查层级（EL3/EL2/EL1）
• 示例代码：设置TZPC保护区域

void configure_memory_protection(void) {// 设置0x80000000-0x8FFFFFFF为安全区域mmio_write_32(TZASC_REGION_ATTR(0), TZASC_REGION_ENABLE | TZASC_REGION_SECURE);
}

2. TF-A中的内存保护实现

2.1 启动阶段内存保护

2.2 内存属性配置表(MAIR)

• AArch64内存属性索引编码
• 典型配置组合：
  • 设备内存(Device-nGnRE)
  • 普通非缓存(Normal NC)
  • 写回缓存(Write-Back)

2.3 翻译表描述符安全属性

// 安全内存页表描述符示例
mov x1, #(MMU_DESC_ATTR_AF | MMU_DESC_ATTR_SH_IS | \MMU_DESC_ATTR_AP_RW_EL1 | MMU_DESC_ATTR_NS)
orr x1, x1, #(MMU_DESC_ATTR_IDX(MT_DEVICE) << 2)

3. 动态内存隔离技术

3.1 安全监控调用(SMC)保护

• SMC调用边界检查
• 参数缓冲区验证

int handle_smc(uint32_t smc_fid, uint64_t x1, uint64_t x2) {if (!is_secure_address(x1)) {  // 检查指针是否指向安全内存return SMC_UNK;}// ...处理逻辑...
}

3.2 内存加解密保护

• 内存加密引擎集成
• 动态密钥轮换策略
• 自加密内存(SEM)支持

4. 典型攻击防护

4.1 侧信道攻击防护

• 缓存时序攻击缓解
• 推测执行屏障(Speculation Barrier)
• 内存访问模式混淆

4.2 内存完整性校验

• ECC内存保护
• 哈希树(Hash Tree)实现
• 实时内存篡改检测

5. 平台移植注意事项

5.1 硬件特性检查清单

• MPU/TZASC存在性验证
• 内存加密引擎支持
• 总线防火墙配置

5.2 典型问题排查

# 通过JTAG检查内存属性
mem 0x80000000 100 -s  # 检查安全属性位

6. 性能与安全权衡

6.1 性能影响评估

6.2 优化建议

• 关键路径禁用内存检查
• 批处理安全操作
• 硬件加速器利用

7. 安全验证方法

7.1 静态分析

• 页表配置验证工具
• 内存属性冲突检测

7.2 动态测试

# 内存越界测试脚本示例
def test_memory_isolation():try:write_non_secure(secure_addr)  # 应触发异常assert False, "Security violation not caught"except SecurityException:pass

最佳实践：建议在BL31初始化阶段执行完整的内存保护自检，确保所有安全关键区域配置正确。

扩展阅读

1. ARM文档：ARMv8-A内存模型架构参考手册
2. TF-A源码：lib/xlat_tables 目录下的内存管理实现
3. CVE案例研究：CVE-2021-28676（内存隔离失效漏洞）