i.MX RT1180 TRDC 簡單介紹

一. RT1180 安全組件和 TRDC 介紹

二. TRDC 在各域模塊中分配

三. TRDC 框圖和子模塊介紹

四. 參考文檔

一. RT1180 安全組件和 TRDC 介紹

       RT1180 的安全系統包括以下幾個部分：

1. Arm TrustZone® (TZ) architecture
2. Battery Backed Security Module (BBSM)
3. Advanced High Assurance Boot (AHAB)

          AHAB 是一種用於嵌入式系統的先進高保障引導技術。AHAB 旨在提供更高級別的系統安全性和可信度，確保系統在啟動過程中受到有效的保護。

4. EdgeLock Enclave (ELE) as hardware root of trust (RoT)

          EdgeLock Enclave（ELE）作為硬體信任根（RoT），在計算機安全領域，硬體信任根是指一個被視為絕對可信任和安全的硬體組件，用於啟動和驗證系統的其他部分。硬體信任根通常用於建立信任鏈，確保系統的安全性和完整性。EdgeLock Enclave（ELE）是一種特定的硬體隔
        離技術，通常用於創建受保護的執行環境，以確保關鍵數據和操作的安全性。將 ELE 作為硬體信任根意味著將其視為系統中的最可信、最安全的部分，用於啟動和驗證系統的其他組件，並確保系統的整體安全性。

        通過將 EdgeLock Enclave 作為硬體信任根，可以建立一個可靠的安全基礎，保護系統免受惡意攻擊和未經授權的訪問。這有助於確保系統的安全性，並提供一定程度的保障，以防止各種安全威脅對系統造成損害。

5. On-the-fly decryption (FlexSPI OTFAD)

           描述了一種在外部閃存設備中存儲的加密應用程序代碼或數據的即時解密過程

6. Inline Encryption Engine (IEE)：“Inline encryption engine”（內聯加密引擎）支持從外部閃存解密或對SDRAM進行加密和解密操作，提高系統中敏感數據的安全性和保護能力。
7. TRDC

           "Trusted Resource domain controller (TRDC) for complete peripheral & memory isolation" 指的是用於實現完整外設和內存隔離的資源域控制器（TRDC）。

           資源域控制器（TRDC）是一種系統級組件，用於管理和控制不同的資源域，以實現外設和內存之間的隔離。這種隔離可以確保不同的外設和內存區域之間相互獨立運行，以提高系統的安全性和可靠性。具體來說，TRDC 管理和配置不同的資源域，其中包括外設和內存。它可以將外
      設劃分為不同的域，並限制域之間的通信和訪問權限。同樣，TRDC 還可以管理內存資源，確保不同的內存區域之間隔離運行，防止數據泄漏或干擾。通過使用TRDC進行完整的外設和內存隔離，可以實現以下好處：
      a.提高系統的安全性：通過隔離外設和內存，可以防止惡意外設訪問敏感數據或破壞系統操作。這有助於防止攻擊者從一個資源域訪問另一個資源域，並限制潛在的攻擊面。
      b.增強系統的可靠性：通過隔離外設和內存，可以防止一個資源域的故障影響其他資源域的操作。這有助於提高系統的穩定性和可靠性，並減少單點故障的風險。
           總而言之，“Trusted Resource domain controller (TRDC) for complete peripheral & memory isolation” 表明資源域控制器（TRDC）用於管理和控制不同資源域，以實現完整的外設和內存隔離，從而提高系統的安全性和可靠性。

      RT 1180 使用 TRDC管理 Cortex®-M7 核心、Cortex®-M33 核心和其他總線主控之間的內存/外設資源共享和隔離，主要有以下關鍵特性：

      1.基於域的資源控制：該晶片採用基於域的資源控制架構，用於有效管理內存和外設等資源。通過將系統劃分為不同的域，可以根據具體需求分配和隔離資源。

      2.客戶定義策略：架構允許 Cortex-M7 平台或 Cortex-M33 平台編程資源域控制訪問列表，以實現客戶定義的策略。這個特性可以進行定製，讓用戶定義自己的資源訪問和使用策略。

      3.靈活的外設分配：架構允許任何外設分配到任何域中。這種靈活性可以根據系統和組件的具體需求進行最佳資源分配。

      4.多區域訪問控制：TRDC（資源域控制器）支持多個區域，每個區域都有自己的內存空間。它提供了對每個內存空間的靈活訪問權限控制，可以通過不同的域或組件對內存訪問進行細粒度控制。

      綜上所述，該描述涉及的晶片採用基於域的資源控制架構，用於管理不同核心和總線主控之間的資源共享和隔離。它支持客戶定義策略的實現，靈活的外設分配以及對內存空間的靈活訪問權限控制。

         首先每個總線主設備資源都被分配一個域標識符（domainID，DID）。通常情況下，每個處理器被分配一個唯一的域標識符，並且所有其他非處理器總線主設備被分配給不同的域標識符。接下來，針對各個域的訪問控制策略會被編程進從內存塊和區域檢查器中的任意數量的寄存器

      中。最後，整個設備上的所有訪問都會同時被監視，以確定每次訪問的有效性。如果來自特定域的引用具有足夠的訪問權限，那麼將允許其繼續進行訪問；否則，將中止該訪問並捕獲錯誤信息。

         TRDC定義的訪問控制方案採用了一個4級模型，結合了傳統的特權和用戶模式，並引入了安全和非安全屬性，從而形成了一種分層的訪問控制機制。通過結合安全/非安全和特權/用戶屬性，以及與每個系統總線事務相關聯的域標識符，TRDC實現了基於硬體的訪問控制機制。這種機
      制可以根據不同類型的內存引用（讀取、寫入和執行）來制定不同的訪問控制策略，從而提高系統對資源訪問的靈活性和安全性。

二. TRDC 在各域模塊中分配

        晶片包含 8 各域, CM7、AON、WAKEUP、NETC、MEGA、ANADIG、CCMSRCGPC、BBSM,

         TRDC1 模塊在 AON 域, TRDC2 模塊在 WAKEUP 域, TRDC3 模塊在 MEGA 域。

三. TRDC 框圖和子模塊介紹

       TRDC 包含 :

       TRDC_MGR：負責協調所有編程模型的讀取和寫入操作。

       TRDC_DAC：Domain Assignment Controller (DAC) ，負責處理資源分配並生成域標識符。

       TRDC_MBC：The Memory Block Checker (MBC) ，基於固定大小的塊格式，實現對晶片內部存儲器和從設備外圍設備的訪問控制。通過這個子模塊，系統可以有效地對內部存儲器和外圍設備進行訪問控制，確保數據的安全性和完整性。

       TRDC_MRC: Memory Region Checker (MRC) ,根據預先編程的區域描述符寄存器實現對外部存儲器和外圍設備的訪問控制。

四. 參考文檔

       RT1180 參考手冊