TrustZone与Hypervisor

Question

我只是在读“本文件 on TrustZone”的文章，有些事情我不太清楚。

Hypervisor提供了一种特殊的CPU模式，而对于TrustZone，处理器提供了额外的33位:模式也是特定的位设置吗？那么，一个额外的比特如何在安全性方面产生如此大的差异。我明白额外的位会让位给两个独立的32位间距，但除此之外，我无法将二位和二位放在一起。有人能清楚地解释为什么TrustZone比Hypervisor更安全吗？

Answer 1

在英特尔上使用IOMMU，在ARM上使用SystemMMU，DMA攻击至少在国外可以避免。基于TrustZone的系统安全性与基于管理程序的系统安全性的主要区别之一是，虚拟机监控程序以页面粒度保护系统，通常通过修改CPU MMU和添加周边MMU (IOMMU，SystemMMU)来保护系统。

在基于trustZone的系统中，每个事务(访问)都被标记为安全或非安全(通过一个额外的总线地址线33位)，从而以更细的粒度(通常是在处理器字大小级别)提供安全性。