内存加密上下文(MEC)
内存加密上下文是与内存区域相关联的加密配置,由MMU分配。
MEC是Arm Realm Management Extension(RME)的扩展。RME系统架构要求对Realm、Secure和Root PAS进行加密。用于每个PAS的加密密钥、调整或加密上下文在该PAS内是全局的。例如,对于Realm PAS,所有Realm内存使用相同的加密上下文。有了MEC,这个概念被扩展了,特别是对于Realm PAS,我们允许每个Realm都具有唯一的加密上下文。这为RME已经提供的隔离提供了额外的深度防御。Realms和RMM本身都可以有独立的加密。
MECID是与不同Memory Encryption Contexts相关联的标识标签。MECID分配给系统中的不同软件实体,例如Realms或RMM。在下图中,每个Realm都有一个单独的MECID:
MECID本身不是系统全局标识符。要成为系统全局标识符,它们必须与物理地址(PA)空间相关联。
MECID由软件分配(由RMM分配给Realm PAS),使用系统寄存器值和页表位的组合。MEC允许软件主体、Realms和RMM使用多个MECID寄存器,使用页表位选择应用于与该软件主体映射的特定内存区域的哪个MECID寄存器。例如,这使得RMM可以使用一个MECID寄存器来管理其自己的数据结构,使用另一个MECID寄存器来管理当前正在管理的Realm的数据结构,例如Realm的阶段页表。对于Realm来说,访问多个MECID寄存器意味着它可以与其他Realm