自从美国前国家安全局承包商爱德华.斯诺登披露“棱镜门”监听计划后，安全已经成为移动通信设备和其他便携式电子设备最关注的焦点，如何提升设备的安全防护水准？显然，从芯片就开始提供设备的安全防护是最有效的举措。ARM公司于2003年提在嵌入式领域出了TrustZone技术，为硬件系统提供安全保护，不过，这个十年前提出的技术能适应现在移动安全需求吗？

“TrustZone技术提出的时候，手机的应用功能还未发展到今天这么复杂和高度集成，这个技术不适应目前的安全需求。”在11月12日2014 Imagination高峰论坛上，Imagination Technologies公司CEO Hossein Yassaie在接受媒体采访时指出，“打个比方说，这个TrustZone技术就像是银行的一个保险柜，你可以把认为安全的应用都放进去，在以前，应用都比较单一，这样的安全防护也许有一定的作用，但是现在，手机等移动设备都集成了很多应用，这些都放在一个保险柜中显然安全风险就增大了很多。”

在CPU内核的设计中集成系统安全性扩展，是TrustZone在ARMv6内核架构下的重要扩展特性之一，TrustZone分离了两个并行执行的环境：非安全的“普通”执行环境；安全可信任的“安全”环境，安全监控器（Monitor）控制着安全与“普通”环境之间的转换，以决定系统是否运行在安全或不安全的环境下。图1为TrustZone模式下二个并行安全环境的示意图。

安全环境中的硬件经过增强安全性的特殊设计，能进行代码隔离；安全软件既提供基本的安全服务，又提供接口连接到安全链中的其它ARM TrustZone技术可识别系统的安全码和数据，硬件能清楚区分安全信息和非安全信息。据称该区分能力可令安全码和数据在操作系统中安全而有效地同时运行，并不需要牺牲任何系统性能，也不会受病毒侵害。

但是问题来了，如果一个应用伪装成“可信任的”进入到你的安全区会怎么样？其他应用和数据还会安全吗？

“而Hypervisor全局硬件虚拟化（Virtualization-VZ）技术是应对安全挑战的良策！”Hossein指出，“Hypervisor VZ全局硬件虚拟化技术并不是未经验证的全新技术，而是传统安全领域广泛使用和发展多年的成熟技术”，Hypervisor之于操作系统类似于操作系统之于进程。它们为应用执行提供独立的VZ虚拟硬件平台，而VZ虚拟硬件平台反过来又提供对底层机器的虚拟的完整访问。Imaginaition将把Hypervisor VZ全局硬件虚拟化技术从传统服务器领域带入现代嵌入式领域的每一个角落。

利用虚拟化技术，多个未经修改的操作系统与应用程序都能各自在单一、可信赖的平台上同时独立且安全地运行。“这好比把每个应用都放在一个沙箱中运行，不用担心其他应用带来安全威胁。”他认为未来从低端到高端应用，对于虚拟化技术的需要都将日益提升。

所以Imagination的MIPS CPU从入门级M-class、中端I-class到高端P-class内核以及GPU都支持Hypervisor VZ虚拟化策略。

这能为系统开发带来很多好处，包括：

●具备可隔离执行多重任务的能力

●横跨多个客体（guests）的智能资源配置

●安全的下载与上传

●IP保护

下图解释了Hypervisor VZ虚拟化的原理

Hossein指出不仅CPU ，GPU在安全方面的作用也非常大，所以Imagination最新的高端PowerVR Series7XT和中低端Series7XE GPU都可以有效地支持硬件虚拟化。可以为运行于虚拟机监视器上的虚拟机增加虚拟GPU。基于优先级的机制，保证了每个虚拟机可以有效地得到请求的硬件资源，从而确保所有虚拟终端间性能的强健性。

他表示虚拟化的一个重要特征是隔离性——这是为移动和嵌入式设备提供改进安全框架的基础。因为虚拟机之间彼此隔离，并且也与默认底层架构相隔离，它们可以满足移动支付，个人健康管理，汽车安全和其它嵌入式市场生产厂家需求的安全性原则。例如，软件开发商可以实现更安全的游戏移动支付或者在用户与UI交互时阻止中间件攻击。

进入物联网时代，安全尤为重要，系统芯片厂商们是需要认真考虑下安全策略了，例如最新的华为麒麟620就是在已有的TrustZone技术上内建了自己的芯片安全模块，此外还有其他安全措施例如自研发安全OS等等，显然是TrustZone技术不能满足安全需要而带来的厂商研发投入和产品成本的增加。