ATF里都包括哪些东西呢？

作者简介

baron，九年手机安全/SOC底层安全开发经验。擅长trustzone/tee安全产品的设计和开发。是国内较早一批做TEE的，对商用TEE、开源TEE研究也比较深入，对未来的安全架构/安全趋势也有着明确的看法...

1、什么是ATF

首先什么是TF-A(ATF)？ATF就是一个固件， 一段代码，一个为armv7-A/armv8-A/armv9-A提供的参考实现代码。（注意，这只是参考实现，你也可以不用ATF，用自己写的一个固件。）

2、那么ATF里都包括哪些东西呢？

最初的功能很简单：

cpu_context的保存和恢复，即: 双系统的切换

电源管理、PSCI等

但是随着技术的发展，功能也越来越多，越来越复杂，以下列举了当前的部分功能：

安全世界的初始化，例如异常向量表、一些控制寄存器和中断寄存器

CPU reset和power down的时序。包括Arm DynamIQ cpu的支持

标准的system IP的驱动，例如Generic Interrupt Controller (GIC), Cache Coherent Interconnect (CCI), Cache Coherent Network (CCN), Network Interconnect (NIC) and TrustZone Controller (TZC).

一种通用的SCMI驱动程序, 适用于电源控制接口，例如ARM SYSTEM Control Processor(SCP)

smc处理，using an EL3 runtime services framework

PSCI库的支持，用于CPU/Cluster/system的电源管理，这个库集成到了aarch64 el3的runtime中，也适用于aarch32 el3

secure monitor代码，用于world切换、中断routing

SPDs for the OP-TEE Secure OS, NVIDIA Trusted Little Kernel and Trusty Secure OS

SecureBoot实现

预集成TBB与Arm CryptoCell产品，利用其硬件Root的信任和加密加速服务。

3、ATF定义的启动模型

ATF将镜像进行了划分，BL1 BL2属于启动引导镜像，BL3属于runtime镜像。BL3又分为BL31 BL32 BL33对应的分别是ATF Runtime、REE Runtime、TEE Runtime。

（注：本文是Quick Start，不深入解释这些概念，请自行理解:BL1 BL2 BL31 BL32 BL33的概念、EL3 S-EL1 NS-EL1的概念)

4、ATF的rt_svc介绍(runtime service)

4.1、SPD(opteed)举例

例如负责双系统切换的SPD，它是 OEN_TOS的RT-Service，它负责启动TEE和双系统切换。

补充双系统切换时寄存器的保存和恢复模型（ switchcpu_context模型）

5、ATF参与的多系统交互模型

特权等级、security State之间的交互模型，ATF是一段跑在EL3特权等级的代码。如下是一个特权等级、security State之间的切换模型，可以看出所有的交互和跳转都是通过异常向量表进行的。

异常特权等级之间的跳转模型都是通过同步异常或异步异常进行的：

进入ATF的方式触发异常：同步异常(不限于smc）、异步异常(irq,fiq，serror)

➨ 如果是同步异常，那么会判断是不是smc调用触发的同步异常，如果是则进入跳转ATF中异常向量表中的同步异常程序smchandler64或smchandler32 在该程序中，解析smc id，来选择跳转到具体哪一个rt-svc(runtime service)

➨ 如果是异步异常，那么一定是触发了irq或fiq或serror中断等，此时进入跳转ATF中异常向量表中的异步异常程序，进而跳转到响应的中断处理函数。

6、ATF如何处理业务逻辑的呢

那么ATF里都有哪些业务逻辑呢，如何区分和处理的呢？

当有异常进来后，进行一些判断，如您是同步异常还是异步异常? 如果是异步异常，那么你是 dosomething 还是 转发中断 ？如果是同步异常，那么你是 dosomething，还是执行 RT-Service？

审核编辑 ：李倩