安全設(shè)備的硬件安全隔離

系統(tǒng)的外部設(shè)備一般是通過APB總線掛接到AXI總線上的，APB總線不支持ARM核對設(shè)備訪問時(shí)進(jìn)行安全檢查的功能，故如果要將某個(gè)外部設(shè)備配置成安全設(shè)備，則需在SOC中添加TZPC組件和AXI-to-APB橋。

TZPC組件負(fù)責(zé)將某個(gè)特定外部設(shè)備配置成安全設(shè)備，并為該安全設(shè)備提供額外的安全信號，AXI-to-APB橋使用TZPC配置給該外部設(shè)備的安全信號來校驗(yàn)ARM核發(fā)送的訪問請求中的安全狀態(tài)位（NS
bit）是否與之匹配，如果TZPC給外部設(shè)備提供的信號為安全信號而ARM核的訪問請求是在正常世界狀態(tài)（NWS）發(fā)起的，則AXI-to-APB總線會(huì)判定訪問失敗，從而實(shí)現(xiàn)系統(tǒng)對該外部設(shè)備的安全隔離。

TZPC組件主要有兩個(gè)作用，一是為TZMA提供安全區(qū)域大小配置信號，用于TZMA來配置片上SRAM、ROM安全區(qū)域的大小，另外一個(gè)作用是接入到AXI-to-APB總線上，為外部設(shè)備提供安全信號，將某個(gè)外部設(shè)備配置成安全設(shè)備。TZPC組件的信號連接圖如圖22-1所示。

TZPCR0SIZE信號線將被連接到TZMA組件上，用于TZMA配置片上SRAM、ROM安全區(qū)域的大小，

TZPCDECPROTx信號線將連接到AXI-to-APB橋上，用于配置某個(gè)外設(shè)是否為安全設(shè)備。

TZPC最多支持將24個(gè)外部設(shè)備設(shè)定為安全設(shè)備，且需將TZPC組件的寄存器地址設(shè)定在安全地址范圍內(nèi)。

TZPC提供了18個(gè)寄存器，這些寄存器用于配置安全信號。這些寄存器的相關(guān)信息如表22-1所示。

通過配置TZPC組件寄存器的值可設(shè)定特定的安全信號的輸出組合，用于將外部設(shè)備設(shè)定成安全設(shè)備。

TZPC的基地址并不固定，但需確保TZPC的基地址是在安全地址區(qū)域中的。