在ARMv8-A中,程序在4个Exception Level中的某一个Level执行。在64-bit的执行状态中,Exception Level决定了执行时的特权级别,这个特权级别与ARMv7-A中定义的特权级别类似。
Exception Level是ARMv8-A体系结构中的基础概念。所有的操作都在一个特定的Exception Level中执行,并且一个寄存器能存在多个Exception Level中。在一个Exception Level中改变寄存器中的值,在另一个Exception Level会产生影响。
Exception Level为软件的执行特权提供了逻辑隔离,这个适用于ARMv8-A体系结构中的所有操作状态。系统软件决定Exception Level,从而也就决定了软件执行的特权级别。Exception Level有点类似于计算机科学中的分层保护域的概念。
4个Exception Level如下:
- EL0
运行通常的用户程序,EL0对应最低特权级,因此也称为非特权级,其他的Exception Level对应的为特权级; - EL1
运行操作系统内核,特权级; - EL2
运行Hypervisor管理程序; - EL3
运行Low-level firmware,包括Secure Monitor
ELn中,n越大表明Exception Level对应的级别越高。
通常来说,应用程序,操作系统内核,或者Hypervisor,分别占用一个Exception Level。内核Hypervisor是一个例外,比如KVM,它同时运行在EL2和EL1中。
ARMv8-A中还提供了两个安全状态,分别用Secure和Non-Secure来指代。一般Non-secure通常指Normal world,Non-Secure并不是指存在安全漏洞,而是指正常的操作。操作系统运行在Normal world中,与之对应的是trusted OS运行在Secure world中。ARM的TrustZone技术可以将系统划分成Normal world和Secure world。这个可以在遇到软件攻击或硬件攻击时提供保护。Secure Monitor可以在Normal world和Secure world之间移动时充当通道的作用。在ARMv8-A体系架构中,Secure Monitor运行在一个比其他软件都要高的Exception Level中。下图将很好的描述这个关系:
ARMv8-A提供了虚拟化的硬件支持。在Normal world中,虚拟化可以使多个操作系统能并存在同一个系统中,这意味着Hypervisor或者Virtual Machine Manager(VMM)可以在系统上运行,并承载多个客户机操作系统。
Normal world有以下组成部分:
- Applications:应用程序;
- Guest Operating Systemms:包括运行在EL1中的Linux或Windows系统,当在一个Hypervisor中运行时,OS内核可以作为客户机或主机运行,这个取决于Hypervisor的模型;
- Hypervisor:运行在EL2中,当Hypervisor使能时,可以在多个客户机操作系统中进行切换操作;
Secure world有以下组成部分:
- Secure firmware:在一个应用处理器中,Secure firmware必须是引导阶段中的第一个运行的,它提供了多种服务,包括平台的初始化,Trusted OS的安装,Secure monitor calls的路由等,运行在EL3级别。
- Trusted OS:可信操作系统为Normal world提供安全服务,并为执行安全或可信应用程序提供运行时环境。当EL3使用AArch64时,它执行在EL1中,当EL3使用AArch32时,它执行在EL3中。
