本节描述了初始化RME系统的要求。
目录
一、复位需求
二、RME禁用
一、复位需求
RME系统重置(即复位)是指重置整个系统的全局功能状态的任何系统事件。
RME系统重置包括处理单元(PEs)、处理单元集群(PE-clusters)、系统核心逻辑和辅助逻辑、所有系统总线以及所有系统外围设备的重置。
从MSD的角度来看,RME系统重置事件被视为逻辑上相当于对平台进行电源循环(power cycling)。
重置完成后,执行从根PAS中的某个地址开始。
在RME系统重置时,所有受信任的请求者和受信任的子系统都会被重置。任何可能包含MSD或RMSD机密信息的受信任子系统状态都会被重置为已知值。
受信任请求者和受信任子系统的示例包括GPCs、MPEs、受信任的SCP和托管HES的受信任子系统。
RME系统重置传播到PEs时,可能是Cold reset、Warm reset或错误恢复重置。
RME系统重置可能会作为错误恢复重置传播到任何实现RAS的组件。
影响RME安全保证的系统组件的重置只能由MSD或受信任子系统控制,或由RME系统重置驱动。
RME系统重置不需要显式重置外部存储。例如,PSCI 中定义的SYSTEM_WARM_RESET操作是RME系统重置的一种允许变体。
另见:
- 在A-profile架构的Arm架构参考手册中:
- AArch64系统级程序员模型章节中的重置类型
- RAS系统架构章节中的错误恢复重置
二、RME禁用
如果一个RME系统包括LEGACY_TZ_EN系统绑定,它可以回落到仅支持两种安全状态和两个物理地址空间。
在RME系统重置解除后,不允许改变LEGACY_TZ_EN的值。
禁用RME功能可以通过一个efuse来控制,该efuse在RME系统重置解除前驱动LEGACY_TZ_EN绑定的值。
当前不支持作为固件引导选项禁用RME。引导时禁用RME的选项会使安全分析复杂化,因为在引导周期中可能会泄露机密信息。这还意味着在多个系统组件中同步从根PAS到安全PAS的资源转换与MSD固件从根状态到安全状态的过渡是一个功能挑战。 如果不需要Granular PAS过滤,MSD固件可以禁用粒度保护检查。