TPM服务CRB接口架构与FF-A通知机制解析

郁林成森

1. TPM服务CRB接口架构解析

TPM（Trusted Platform Module）服务中的CRB（Command-Response Buffer）接口是一种基于内存映射的命令交互机制，它遵循TCG（Trusted Computing Group）的PTP（PC Client Platform TPM Profile）规范。这种设计允许客户端通过直接读写内存区域来与TPM服务进行高效通信，避免了频繁的系统调用开销。

1.1 CRB接口的内存布局

在物理内存中，CRB接口被划分为五个独立的区域（Locality 0-4），每个区域对应不同的安全等级和访问权限。根据TCG PTP规范要求：

Locality 0-3的内存区域应当连续排列，便于统一管理
Locality 4必须与其他区域隔离，通常放置在安全内存区域（如TrustZone的Secure Memory）
每个Locality区域的物理地址必须在系统启动前确定，并在平台内存映射中固定

实际部署时，系统固件需要确保：

c复制// 典型的内存映射配置示例
#define CRB_LOCALITY_0_BASE  0xFD000000
#define CRB_LOCALITY_1_BASE  0xFD000400 
#define CRB_LOCALITY_2_BASE  0xFD000800
#define CRB_LOCALITY_3_BASE  0xFD000C00
#define CRB_LOCALITY_4_BASE  0xFE800000  // 单独的安全内存区域

1.2 CRB结构组成

每个Locality的CRB结构包含三个关键部分：

Locality控制寄存器：管理区域访问权限和状态
- LocalityState：当前区域状态（空闲/请求/激活）
- AccessGrant：访问授权标志位
- RequestPending：请求挂起状态
CRB控制区：命令处理控制
- CMD_SIZE：命令数据大小
- CMD_ADDR：命令缓冲区地址
- RESP_ADDR：响应缓冲区地址
- START_BIT：启动处理标志
数据缓冲区：实际存储TPM命令和响应的区域
- 典型大小为4KB，支持最大TPM命令包

特别注意：Locality 4的控制字段定义与其他区域不同，这是由于其专用于DRTM（动态信任根测量）等高安全操作。

2. CRB接口操作流程详解

2.1 客户端操作序列

当客户端需要发送TPM命令时，必须遵循严格的访问协议：

请求访问权限

设置Locality控制寄存器的RequestAccess位
调用FF-A Start Method通知TPM服务

assembly复制; 示例：设置Locality 2的访问请求
MOV x0, #0xFD000800     ; Locality 2基址
LDR w1, [x0, #LOC_CTRL] ; 读取当前控制值
ORR w1, w1, #0x02       ; 设置RequestAccess位
STR w1, [x0, #LOC_CTRL] ; 写回寄存器

准备命令数据
- 将TPM命令写入数据缓冲区
- 配置CRB控制区的命令地址和大小
- 设置START位为1
触发命令处理
- 通过FF-A MSG_SEND_DIRECT_REQ调用Start方法
- 指定Locality编号和命令类型
等待完成
- 轮询START位或等待FF-A通知
- 读取响应数据

2.2 服务端处理机制

TPM服务在收到Start通知后：

验证CRB状态和命令有效性
执行以下操作之一：
- 同步处理：在当前调用上下文中完成命令执行
- 异步处理：启动后台处理并返回成功状态
处理完成后：
- 清除START位
- 更新响应数据
- 发送FF-A通知（如配置）

关键点：TPM服务必须保持CRB状态的一致性，即使前一个客户端恶意修改了CRB内容，服务也应能恢复有效状态。

3. FF-A通知机制集成

3.1 通知注册流程

客户端使用FF-A通知需要完成以下步骤：

查询功能支持

调用get_feature_info函数检查通知功能

c复制// 功能查询示例
struct ffa_value ret = ffa_call(TPM_FID_GET_FEATURE_INFO, 
                              FEATURE_ID_NOTIFICATION,
                              0, 0);
if (ret.w4 != TPM_STATUS_OK) {
    // 不支持通知功能
}

绑定通知ID
- 通过FFA_NOTIFICATION_BIND分配通知ID
- 指定通知类型（全局或vCPU特定）
注册TPM服务
- 调用register_for_notification
- 提供通知ID和vCPU信息
配置中断控制
- 设置CRB Interrupt Control寄存器
- 选择需要通知的事件类型

3.2 通知处理时序

完整的通知交互包含以下阶段：

客户端发送Start请求
TPM服务接受请求并记录客户端ID
命令处理过程中触发中断事件
TPM服务发送FFA_NOTIFICATION_SET
客户端接收通知后：
- 调用finish_notified完成处理
- 读取Interrupt Status寄存器
- 清除状态标志

mermaid复制sequenceDiagram
    participant Client
    participant TPM Service
    Client->>TPM Service: Start Request (FFA_MSG_SEND_DIRECT_REQ)
    TPM Service->>Client: Immediate Response
    TPM Service->>TPM Service: Process Command
    TPM Service->>Client: FFA_NOTIFICATION_SET
    Client->>TPM Service: finish_notified
    TPM Service->>Client: Final Status

4. DRTM事件的特殊处理

动态信任根测量（DRTM）事件通过Locality 4触发，代表系统进入可信状态。其处理流程具有以下特点：

独占性访问：
- 只有安全世界的组件可以访问Locality 4
- 通常由EL3固件或安全分区控制
系统级影响：
- 触发DRTM会重置系统测量状态
- 需要同步更新CRB和其他安全组件
严格时序要求：
- 从Start调用到完成必须原子性执行
- 不允许异步处理模式

典型DRTM序列示例：

安全世界组件准备测量数据
写入Locality 4的CRB
调用Start方法
TPM服务同步执行测量扩展
返回执行结果

5. 安全实现考量

5.1 信任边界划分

TPM服务的TCB（Trusted Computing Base）包含：

组件	信任要求
FF-A Partition Manager	必须完全可信
EL3固件	必须完全可信
TPM设备/模拟器	必须隔离访问
CRB内存区域	根据Locality分级保护

5.2 典型部署模式

模式1：物理TPM设备

TPM服务作为FF-A安全分区运行
通过专用驱动访问物理TPM
Locality 4映射到安全内存

模式2：固件TPM模拟

TPM服务实现完整TPM逻辑
使用安全存储保存状态
适合无硬件TPM的平台

5.3 常见问题排查

Start调用失败
- 检查Locality控制状态
- 确认CRB内存权限
- 验证命令数据对齐
通知未接收
- 确认注册流程完成
- 检查Interrupt Control配置
- 验证通知ID绑定
DRTM执行错误
- 确保在安全世界执行
- 检查测量数据格式
- 验证平台特定要求

6. 性能优化实践

6.1 异步处理模式

对于耗时操作，推荐采用：

python复制def async_command_processing():
    # 客户端设置
    setup_crb_command()
    send_start_request()
    
    # 异步等待
    while True:
        if check_notification():
            handle_response()
            break
        elif timeout():
            handle_error()
            break