Linux-arm(1)ATF启动流程

Linux-arm(1)ATF启动流量

Author：Once Day Date：2025年1月22日

漫漫长路有人对你微笑过嘛…

全系列文章可查看专栏: Linux实践记录_Once_day的博客-CSDN博客

参考文档：

• ARM Trusted Firmware分析——启动、PSCI、OP-TEE接口 Arnold Lu 博客园
• Trusted Firmware-A Documentation — Trusted Firmware-A 2.12.0 documentation
• GitHub - ARM-software/arm-trusted-firmware: Read-only mirror of Trusted Firmware-A
• Linux 核心專題: Trusted Firmware-A 及 Linux 啟動流程分析 - HackMD

1. 概述

1.1 ATF-A介绍

ARM ATF-A (ARM Trusted Firmware-A)是ARM官方为ARMv8-A架构提供的一套开源、安全、可靠的参考firmware实现。它主要面向ARM64(AArch64)和ARM32(AArch32)架构，提供了全面的安全世界(Secure World)支持和丰富的功能。

ATF-A支持ARMv7-A和ARMv8-A架构系列处理器，包括Cortex-A53/57/72/73/75/76/77等。通过实现ARMv7-A和ARMv8-A架构的安全扩展，ATF-A能在EL3异常级提供可信执行环境。

上图源自于Linux 核心專題: Trusted Firmware-A 及 Linux 啟動流程分析 - HackMD

（1）安全世界支持， ATF-A固件运行在EL3(最高异常级)，提供了安全世界的基础设施。它负责处理器的安全启动、各异常级之间的世界切换、中断管理等关键安全职责。ATF-A将non-secure世界和secure世界隔离，保障了系统安全。

（2）PSCI (Power State Coordination Interface)， PSCI定义了一套让non-secure软件请求电源管理的标准接口。ATF-A对PSCI的主要函数如CPU_ON、CPU_OFF、SYSTEM_SUSPEND等提供了参考实现，并提供具体平台的底层支持代码。

（3）TBBR-CLIENT (Trusted Board Boot Requirements)， TBBR定义了可信启动的客户端要求，旨在建立一个可信的启动链。ATF-A参考实现了Trusted Boot的各阶段，包括引导ROM、可信引导固件、non-secure引导加载器等，最终完成完整可信启动。

（4）SMC Calling Convention，SMC (Secure Monitor Call)是non-secure世界和secure世界之间通讯的机制。ATF-A规范了ARM架构下SMC调用的编号、参数传递约定、返回值格式等，统一了SM层的接口标准。

（5）SCMI (System Control and Management Interface)， SCMI定义了non-secure软件和secure软件之间的系统控制和管理接口,如电源、时钟、sensor等。ATF-A实现了SCMI的message传递标准，并提供了通用的SCMI server端的参考实现。

（6）SDEI (Software Delegated Exception Interface)，SDEI让EL3能将某些中断和异常处理委托给更低异常级的non-secure软件，提高了中断处理的灵活性。ATF-A实现了事件路由、事件注册等SDEI核心机制。

（7）固件更新，ATF-A对ARM PSA规范的固件更新部分作了参考实现。它定义了一套通用的固件更新架构和接口，支持安全的固件版本查询、认证、更新等。

ATF-A作为ARM官方的参考实现，在功能上非常全面，代码质量也很高，已在业界被广泛应用。主要芯片厂商都以ATF-A为基础，加入自己的定制开发，移植到各自的ARM64平台上。ATF-A极大促进了ARM生态系统中secure firmware的标准化，让安全启动和固件实现变得更加规范和可靠。

1.2 ATF-A启动流程

ARM ATF是ARM提供的一套开源的、安全的固件，用于ARM处理器的启动和安全管理。它为ARM平台提供了一个标准化的、安全可靠的启动环境。AArch64架构下启动流程主要分为以下五个阶段：

Boot Loader stage	Execution	描述
BL1(Boot Loader Stage 1)	AP Boot ROM	ATF的第一阶段启动程序，负责初始化硬件、加载并验证BL2
BL2(Boot Loader Stage 2)	Trusted Boot Firmware	第二阶段启动程序，负责加载并验证BL31、BL32和BL33
BL31(EL3 Runtime Software)	EL3 Runtime Firmware	运行在EL3异常等级，提供安全监视器功能
BL32(Secure-EL1 Payload)	Secure-EL1 Payload	可选组件，运行在S-EL1异常等级，提供额外的安全服务
BL33(Non-trusted Firmware)	Non-trusted Firmware	非安全世界的固件，通常是一个引导程序，如U-Boot

下面是AArch64 CPU的启动流程示意图：

引用于https://hackmd.io/@sysprog/rkxaDOWI3

整体流程描述如下：

1. 上电复位，当系统上电或复位时，处理器进入EL3异常等级，从固定地址(如0x0)开始执行BL1。

2. BL1阶段，BL1初始化硬件，如MMU、缓存等，并加载BL2到内存中。然后BL1验证BL2的完整性和authenticity，如果验证通过，就跳转到BL2继续执行。

3. BL2阶段，BL2负责加载BL31、BL32(可选)和BL33，并验证它们的完整性和authenticity。加载完成后，BL2将控制权交给BL31。

4. BL31阶段，BL31初始化EL3异常等级的环境，提供安全监视器功能，并根据配置加载并执行BL32(如果存在)。然后，BL31切换到非安全世界，将控制权交给BL33。

5. BL33阶段，BL33通常是一个引导程序，如U-Boot。它初始化非安全世界的硬件环境，加载并启动操作系统内核，如Linux内核。

6. 进入内核，Linux内核接管系统控制权，完成剩余的硬件初始化，并启动系统服务和用户空间进程。

1.3 BL1固件

BL1是Trusted Firmware中的第一级引导加载程序(First Level Bootloader)，负责执行最早期的系统初始化和引导工作。BL1位于ROM(Read-Only Memory)中，在EL3(Exception Level 3)下从复位向量(Reset Vector)处开始运行。

BL1的主要工作包括:

（1）决定启动路径，根据复位类型(如冷启动、热启动等)决定启动路径。这有助于优化启动流程，跳过一些不必要的初始化步骤。

（2）架构初始化，设置异常向量表，配置CPU复位处理函数，设置重要的控制寄存器，如SCRLR_EL3、SCR_EL3、CPTR_EL3、DAIF等。这些初始化为后续的固件执行做好准备。

（3）平台初始化，使能Trusted Watchdog，确保系统可靠性。初始化控制台，允许输出调试信息。配置硬件一致性互连，确保多核之间的数据一致性。配置MMU(Memory Management Unit)，准备内存环境。初始化相关存储设备，为加载后续固件做准备。

（4）固件更新处理，检查是否需要进行固件更新。如果需要，执行固件更新流程。

（5）BL2镜像加载和执行，BL1输出Booting Trusted Firmware信息。BL1将BL2镜像从非易失性存储加载到SRAM(Static Random-Access Memory)中。如果SRAM空间不足或者BL2镜像校验失败，输出Failed to load BL2 firmware.错误信息。BL1切换到Secure EL1，将执行权交给BL2。

总的来说，BL1是Trusted Firmware引导流程中的第一个阶段，主要负责最基本的系统初始化和BL2的加载。它为后续的引导阶段(BL2、BL31、BL32、BL33)做好了准备，是整个可信引导流程的起点。

1.4 BL2固件

BL2是Trusted Firmware中的第二级引导加载程序(Second Level Bootloader)，承担了更多的系统初始化任务和引导后续固件的责任。BL2位于SRAM(Static Random-Access Memory)中，运行在Secure EL1(Exception Level 1)下。

BL2的主要工作包括:

（1）架构初始化，在EL1和EL0中使能浮点单元(Floating-Point Unit)，使能ASMID(Address Space Memory Identifier)。

（2）平台初始化，进一步初始化控制台，支持更丰富的调试输出。初始化相关存储设备，为加载其他固件做准备。配置MMU(Memory Management Unit)，建立更完善的内存环境。对相关设备进行安全配置，确保系统安全性。

（3）加载并执行SCP_BL2(System Control Processor Firmware)，SCP_BL2是一个独立的固件，用于控制系统功耗、时钟、复位等。BL2负责将SCP_BL2加载到专用的系统控制核(System Control Processor)上执行。

（4）加载BL31镜像(EL3 Runtime Firmware)，BL2将控制权交还给BL1，BL1关闭MMU和Cache，为BL31的执行做准备。BL1将控制权交给BL31，由BL31继续引导流程。

（5）加载BL32镜像(Secure Payload)，BL32运行在安全世界(Secure World)，提供安全服务，BL2依赖BL31将控制权交给BL32。SPSR(Saved Program Status Register)通过Secure-EL1 Payload Dispatcher进行初始化，以支持BL32的执行。

（6）加载BL33镜像(Non-secure Firmware)，BL33通常是一个非安全的固件，如UEFI(Unified Extensible Firmware Interface)。BL2依赖BL31将控制权交给BL33，由BL33继续引导操作系统。

可以看到，BL2在Trusted Firmware的引导流程中扮演了非常重要的角色。它不仅负责更多的系统初始化工作，还要协调和加载其他关键固件，如SCP_BL2、BL31、BL32和BL33。

1.5 BL31固件

BL31是Trusted Firmware中的EL3运行时固件(EL3 Runtime Firmware)，运行在最高的异常等级EL3(Exception Level 3)下。BL31位于SRAM(Static Random-Access Memory)中，是整个Trusted Firmware的核心组件。

除了进行必要的架构和平台初始化外，BL31还承担了以下关键任务:

（1）初始化PSCI(Power State Coordination Interface)服务，PSCI是一种标准的接口，用于管理CPU的功耗状态。BL31实现了PSCI服务，供其他软件调用。通过PSCI服务，BL31可以控制CPU的上电、下电、休眠等操作。

（2）初始化并执行BL32镜像(Secure Payload)，BL32运行在Secure EL1模式下，提供安全服务。BL31负责初始化BL32的执行环境，并将控制权交给BL32。BL32可以是OP-TEE(Open Portable Trusted Execution Environment)等安全操作系统。

（3）初始化非安全世界(Non-secure World)的执行环境，根据配置，BL31可以初始化非安全世界的EL2或EL1。初始化完成后，BL31将控制权交给BL33(如UEFI)，由BL33继续引导非安全操作系统。

（4）负责安全世界和非安全世界之间的切换，在Arm架构中，EL3是安全世界和非安全世界的切换门户。BL31实现了世界切换的机制，确保两个世界之间的安全隔离。当非安全世界需要访问安全服务时，会通过SMC(Secure Monitor Call)指令触发世界切换。

（5）分发和处理安全服务请求，非安全世界通过SMC指令请求安全服务。BL31接收并分发这些请求，调用相应的安全服务处理函数。安全服务可以包括PSCI服务、Trusted OS服务、固件更新服务等。

可以看到，BL31是Trusted Firmware的核心，承担了大量的关键职责。它不仅要初始化和管理安全世界的执行环境，还要作为安全世界和非安全世界之间的桥梁和守卫者。

BL31需要提供各种标准化的服务接口，如PSCI，以便其他软件可以方便地使用这些服务。同时，BL31还要保证世界切换的安全性，严格控制非安全世界对安全资源的访问。

2. 启动流程一览图

上图源自于ARM Trusted Firmware分析——启动、PSCI、OP-TEE接口 - ArnoldLu - 博客园