TrustZone与Hypervisor的区别

一个典型的虚拟机监控器仅限于CPU。它不能防止其他DMA主设备的攻击。有关此内容，请参见维基百科 DMA Attack网页。其他攻击，例如Cold boot，需要其他机制，如 zeroizable memory来防止利用。也就是说，TrustZone不是一个完全的安全解决方案，但它是其中很大一部分。由于ARM只是一个CPU，因此控制其他BUS Masters的机制未指定。除了DMA Masters之外，其他CPU也对内存分区构成威胁。为了解决这个问题，一些辅助CPU具有TrustZone感知能力。即，它们将始终使用NS位（第33位）标记事务。
相比之下，虚拟机监控程序通常不限于两个“世界”。虚拟机监控程序可以托管任意数量的操作系统。而TrustZone仅有两个“世界”：安全和普通。尽管每个“世界”都可以有一个控制性的监督者操作系统，并具有许多独立的线程、任务或进程，根据操作系统的允许。 DMA攻击解释：与硬件位相比，虚拟机监控程序通常使用CPU的MMU来限制软件访问。这并不能防止其他总线主机获取内存。如果虚拟机监控程序受限制的软件可以控制一个单独的总线主机，那么它们就可以获取要保护的内存。DMA使用物理地址，绕过MMU，因此一般的虚拟机监控程序保护无效。 DMA攻击 通过使用CPU外部的东西来访问内存，从而规避了CPU保护。但是，TrustZone的保护不在CPU中，而在总线控制器中。^{参见: NIC301 的示例} ARM TrustZone CPU 只允许CPU支持四种模式; 安全监管员，安全用户，普通监管员和普通用户。普通ARM CPU仅支持用户和监管员分离，所有托管的操作系统都在用户模式下运行，其中典型的所有DMA外设都以监管员权限运行，该值通常被硬编码在SOC中。

---

更新：原始问题中未包括IOMMU。

虚拟机监视程序+IOMMU可以防范一些DMA攻击。但是，这意味着在“world switch”时必须更新IOMMU表。这将防止针对该外围设备的DMA攻击。每个需要此保护的外围设备都需要一个IOMMU。

可能存在这样的情况：普通世界设备可能会访问安全设备以执行“安全操作”。例如，请求解密数据而无需访问密钥。

“hypervisor + IOMMU”不等同于Trustzone。Trustzone是通过总线矩阵保护，包括所有外设和主控器。主控器可以处于任何世界状态；例如，在多CPU系统上，一个可以处于正常状态，另一个可以处于安全状态。这意味着计算可以在两个状态下进行。HV+IOMMU解决方案相当于抢占式多任务处理。在进入该模式时，必须切换IOMMU。再次强调，TZ的弱点在于只支持两个“worlds”。HV+IOMMU可以支持多个“guests”。

使用Intel的IOMMU和ARM的SystemMMU可以在很大程度上规避DMA攻击。基于TrustZone和基于虚拟化监控器的系统安全的主要区别之一是，虚拟化监控器通常通过修改CPU MMU并添加外设MMU（IOMMU、SystemMMU）以页面粒度保护系统，而在TrustZone系统中，每个单独的事务（访问）都标记为安全或非安全（通过额外的总线地址线第33位），从而通常在处理器字大小级别上提供更细粒度的安全性。