Trusted Firmware-A(TF-A)的调用流程遵循ARM的启动架构规范,通常分为多个阶段,从冷启动开始,逐步将控制权从底层固件转移到上层操作系统。以下是TF-A的典型调用流程:
1. Boot ROM (BL1)
- 位置:固化在芯片内部的ROM中,是芯片上电后执行的第一段代码。
- 职责:
- 初始化最基础的硬件(如CPU、必要的时钟、内存控制器)。
- 加载并验证下一阶段固件(BL2)到安全内存(通常是SRAM)。
- 建立安全环境,例如初始化TrustZone,将世界划分为安全世界(Secure World)和非安全世界(Normal World)。
- 跳转:验证BL2后,跳转到BL2执行。
2. Trusted Boot Firmware (BL2)
- 位置:通常加载到安全RAM(如SRAM)中运行。
- 职责:
- 初始化更复杂的硬件(如DDR内存、更全面的外设)。
- 加载并验证后续的固件镜像,包括:
- BL31:EL3运行时固件。
- BL32:可选的Secure-EL1固件(如OP-TEE)。
- BL33:非安全世界引导加载程序(如U-Boot)。
- 根据平台配置,可能还会加载其他固件(如SCP固件)。
- 跳转:将控制权交给BL31。
3. EL3 Runtime Firmware (BL31)
- 位置:运行在EL3(最高特权级),常驻安全内存。
- 职责:
- 提供安全监控器功能,管理安全世界和非安全世界之间的切换(SMC调用)。
- 实现电源状态协调接口(PSCI),用于CPU电源管理(如开机、关机、休眠)。
- 初始化系统级安全服务(如加解密模块)。
- 可选:为BL32(如OP-TEE)设置执行环境。
- 跳转:
- 如果启用了BL32,则先跳转到BL32(Secure-EL1)。
- 否则,直接跳转到BL33(Non-secure EL2或EL1)。
4. Secure-EL1 Payload (BL32,可选)
- 典型实现:OP-TEE(可信执行环境)。
- 职责:
- 提供可信执行环境,运行安全服务(如密钥存储、安全认证)。
- 通过SMC调用与BL31(EL3)交互。
- 跳转:完成后,通过SMC返回BL31,由BL31将控制权转交给BL33。
5. Non-secure Firmware (BL33)
- 典型实现:U-Boot、UEFI或其它bootloader。
- 职责:
- 在非安全世界运行,初始化非安全外设。
- 加载操作系统内核(如Linux),并传递设备树(DTB)等参数。
- 跳转:最终跳转到操作系统内核(通常位于EL2或EL1)。
6. 操作系统内核
- 示例:Linux内核。
- 启动:内核接管后,继续初始化系统,启动用户空间,完成系统启动。
│ Trusted Firmware-A 调用流程 │
│
│ BootROM
│ ↓
│ BL1_entry (bl1_entrypoint)
│ ↓
│ bl1_main()
│ ↓
│ bl1_load_bl2()
│ ├── bl1_plat_get_image_desc()
│ ├── bl1_plat_handle_pre_image_load()
│ └── load_auth_image() ← 加载验证BL2
│ ↓
│ BL2_entry
│ ↓
│ bl2_main()
│ ↓
│ bl2_load_images()
│ ├── plat_get_bl_image_load_info()
│ ├── bl2_plat_handle_pre_image_load()
│ ├── load_auth_image() ← 加载验证BL31/BL32/BL33
│ └── plat_get_next_bl_params()
│ ↓
│ ┌─────────────────────┐
│ │ 跳转方式选择 │
│ ├─────────────────────┤
│ │ 1. SMC方式: │
│ │ smc_BL1_RUN_IMAGE│
│ │ ↓ │
│ │ 2. 直接跳转: │
│ │ bl2_run_next_image│
│ └─────────────────────┘
│ ↓
│ BL31_entry
│ ├── bl31_setup() ← 早期平台设置
│ └── bl31_main()
│ ├── bl31_lib_init() ← 初始化辅助库
│ ├── bl31_platform_setup()← 平台设置
│ ├── runtime_svc_init() ← 初始化运行时服务
│ ├── bl31_register_bl32_init()
│ │ ↓
│ │ bl32_init() ← 调用安全OS初始化(可选)
│ └── bl31_prepare_next_image_entry()
│ ├── cm_prepare_el3_exit_ns()
│ │ ↓
│ │ NonSecure_OS (BL33/U-Boot)
│ └── cm_prepare_el3_exit()
│ ↓
│ Secure_OS (BL32/安全负载)
│
关键特性
- 链式验证:每个阶段验证下一阶段的完整性和真实性,确保启动链安全。
- 权限分离:EL3/BL31管理安全世界切换,BL32提供安全服务,BL33及以后运行非安全世界。
- 灵活性:可通过编译选项配置是否包含BL32、BL33的源类型等。
这个流程确保了从硬件复位到操作系统启动的整个过程中,安全性和可控性得到保障。具体实现可能因平台和配置而异。
