在嵌入式系統(tǒng)和智能設(shè)備領(lǐng)域，硬件級(jí)安全防護(hù)已成為產(chǎn)品核心競(jìng)爭(zhēng)力。ARM TrustZone技術(shù)作為行業(yè)通用的硬件安全擴(kuò)展方案，被廣泛應(yīng)用于各類Cortex-A架構(gòu)芯片。瑞芯微平臺(tái)的Trust固件正是基于這一技術(shù)構(gòu)建的安全基石，承擔(dān)著電源管理、安全隔離、數(shù)據(jù)保護(hù)等關(guān)鍵職能。本文將從基礎(chǔ)原理、平臺(tái)實(shí)現(xiàn)到問(wèn)題排查，全面解析瑞芯微Trust架構(gòu)的核心知識(shí)。

一、ARM TrustZone技術(shù)基礎(chǔ)

TrustZone是ARM為Cortex-A系列處理器設(shè)計(jì)的系統(tǒng)級(jí)安全方案，從硬件層面將系統(tǒng)劃分為兩個(gè)完全隔離的執(zhí)行環(huán)境，確保敏感數(shù)據(jù)和操作在安全環(huán)境中運(yùn)行，免受非安全世界的攻擊。

1.1雙世界系統(tǒng)架構(gòu)

整個(gè)系統(tǒng)被劃分為安全世界和非安全世界：

?安全世界：可訪問(wèn)系統(tǒng)所有資源，運(yùn)行敏感代碼和數(shù)據(jù)

?非安全世界：僅能訪問(wèn)非安全資源，無(wú)法直接訪問(wèn)安全世界的內(nèi)存、外設(shè)和寄存器

?世界切換：通過(guò)ARM的SMC（Secure Monitor Call）硬件指令觸發(fā)，由Secure Monitor代碼完成身份切換，這一過(guò)程完全由硬件保證安全性

目前主流的開(kāi)源實(shí)現(xiàn)包括ARM Trusted Firmware（ATF）和OP-TEE OS，二者可配合使用或單獨(dú)部署。

1.2 CPU特權(quán)等級(jí)

從CPU執(zhí)行權(quán)限角度，不同架構(gòu)有不同的特權(quán)模式劃分：

?64位CPU：分為EL0（用戶態(tài)）、EL1（內(nèi)核態(tài)）、EL2（虛擬化）、EL3（安全監(jiān)控）四個(gè)等級(jí)，每個(gè)等級(jí)又分為安全和非安全模式

?32位CPU：分為Mon、Hyp、SVC、IRQ等8種模式，同樣支持安全/非安全區(qū)分

瑞芯微Trust固件本質(zhì)上是**EL3（安全監(jiān)控層）+安全EL1（可信操作系統(tǒng)）**的功能集合。

二、瑞芯微平臺(tái)Trust實(shí)現(xiàn)詳解

2.1實(shí)現(xiàn)機(jī)制

瑞芯微針對(duì)不同架構(gòu)平臺(tái)采用了差異化的實(shí)現(xiàn)方案：

?64位SoC平臺(tái)：ARM Trusted Firmware（BL31）+ OP-TEE OS（BL32）組合

?32位SoC平臺(tái)：僅使用OP-TEE OS

2.2完整啟動(dòng)流程

ARM標(biāo)準(zhǔn)啟動(dòng)流程分為BL1-BL33五個(gè)階段，瑞芯微平臺(tái)對(duì)其進(jìn)行了適配，各階段對(duì)應(yīng)關(guān)系如下：

關(guān)鍵說(shuō)明：

?Maskrom和Loader由瑞芯微自研實(shí)現(xiàn)，對(duì)應(yīng)標(biāo)準(zhǔn)BL1和BL2階段

?Trust固件包含BL31（ATF）和BL32（OP-TEE OS）兩部分

?從U-Boot開(kāi)始，系統(tǒng)進(jìn)入非安全世界運(yùn)行

2.3固件獲取與打包

目前對(duì)外僅提供二進(jìn)制固件文件，不開(kāi)放完整源碼：

?內(nèi)置位置：U-Boot工程的./tools/rk_tools/bin/目錄下，按芯片系列分文件夾存放

?自動(dòng)打包：編譯對(duì)應(yīng)平臺(tái)U-Boot時(shí)，會(huì)自動(dòng)將二進(jìn)制文件打包生成trust.img

?獨(dú)立獲取：可通過(guò)rkbin倉(cāng)庫(kù)下載所有平臺(tái)的Trust二進(jìn)制文件

2.4 DTS設(shè)備樹(shù)使能配置

Trust功能需要在內(nèi)核設(shè)備樹(shù)中進(jìn)行相應(yīng)配置，不同內(nèi)核版本和架構(gòu)的配置方式略有差異：

2.5運(yùn)行內(nèi)存與生命周期

?ATF運(yùn)行內(nèi)存：DRAM起始地址0M~2M空間，入口地址為0x10000（64KB）

?OP-TEE OS運(yùn)行內(nèi)存：DRAM起始地址132M~148M空間，入口地址為0x08400000（132MB）

?生命周期：Trust固件自上電初始化后，將永久常駐內(nèi)存，直至系統(tǒng)關(guān)機(jī)

2.6核心功能

1.PSCI電源管理：通過(guò)SMC指令實(shí)現(xiàn)CPU上下電、系統(tǒng)休眠、復(fù)位、關(guān)機(jī)等操作，統(tǒng)一了內(nèi)核電源管理接口

2.Secure Monitor：實(shí)現(xiàn)安全世界與非安全世界的切換，是TrustZone技術(shù)的核心

3.安全IP配置：完成AMBA總線、加密模塊、安全存儲(chǔ)等硬件IP的安全屬性配置

4.安全數(shù)據(jù)保護(hù)：為支付、DRM、企業(yè)服務(wù)等場(chǎng)景提供敏感數(shù)據(jù)的存儲(chǔ)和運(yùn)算保護(hù)

三、Trust問(wèn)題排查實(shí)戰(zhàn)

由于Trust固件僅提供二進(jìn)制文件，普通開(kāi)發(fā)者無(wú)法直接調(diào)試，因此掌握日志分析方法至關(guān)重要。

3.1日志格式識(shí)別

Trust固件的打印信息有明確的格式特征：

?ARM Trusted Firmware（BL31）：無(wú)時(shí)間戳，格式為INFO: 內(nèi)容或NOTICE: 內(nèi)容

?OP-TEE OS（BL32）：無(wú)時(shí)間戳，格式為INF [0x0] TEE-CORE: 內(nèi)容

3.2固件版本號(hào)提取

從開(kāi)機(jī)日志中可快速提取版本信息：

?ATF版本號(hào)：NOTICE: BL31: v1.3(debug):4c793da→版本號(hào)為4c793da

?OP-TEE版本號(hào)：INF [0x0] TEE-CORE337: Initializing (1.1.0-127-g27532f4#54...)→版本號(hào)為27532f4（忽略前綴g）

3.3 PANIC信息識(shí)別

當(dāng)Trust固件發(fā)生嚴(yán)重錯(cuò)誤時(shí)，會(huì)輸出PANIC信息：

?ATF PANIC：以Unhandled Exception in EL3開(kāi)頭，隨后輸出所有寄存器值

?OP-TEE PANIC：以core data-abort at address開(kāi)頭，包含寄存器值和錯(cuò)誤位置，最后輸出PANIC: 錯(cuò)誤函數(shù)

四、知識(shí)體系腦圖

總結(jié)

Trust固件是瑞芯微平臺(tái)安全體系的核心，雖然源碼未完全開(kāi)放，但掌握其架構(gòu)原理、啟動(dòng)流程和日志分析方法，能夠幫助開(kāi)發(fā)者快速定位和解決相關(guān)問(wèn)題。在實(shí)際開(kāi)發(fā)中，遇到Trust相關(guān)問(wèn)題時(shí)，應(yīng)優(yōu)先收集完整的開(kāi)機(jī)日志和PANIC信息，這是問(wèn)題定位的關(guān)鍵依據(jù)。