三星TIMA方案利用Trustzone安全模組對普通世界作業系統核心提供執行時完整性保護，即使作業系統被攻擊者控制，也無法(1)修改原有合法核心程式碼(2)注入新的核心惡意程式碼(3)實施return-to-user攻擊，將使用者空間惡意程式碼在核心層執行。

這種設計思路的最大挑戰在於正常世界對自己的系統資源具有完全的控制權，如實體記憶體，頁表及相應的控制暫存器，一旦作業系統被敵手攻破，完全可以通過修改頁表配置改變原有記憶體訪問許可權，將只讀核心程式碼段修改為可寫，或將位於資料或堆疊區域插入的惡意程式碼修改為可執行。因此TIMA方案的核心思路是：通過安全的初始化過程使核心程式碼段在系統初始化後對映為只讀，並移除作業系統對自身虛擬記憶體管理(MMU)相關配置的修改許可權(包括頁表entry，TTBR暫存器等)，頁表更新操作只能由安全世界驗證並代為執行。

為修改現有的頁表對映屬性配置，攻擊者必須執行以下操作之一來繞過安全世界的監控功能．

1)直接修改當前頁表內容，修改監控程式碼對應頁表表項的對映屬性為可寫；

2) 禁用MMU，直接修改監控程式碼的物理頁面；

3) 篡改頁表基址暫存器TTBR的值，使其指向敵手偽造的頁表，破壞監控內碼表的防寫；

4)將包含監控程式碼的物理頁面對映到可寫的虛擬地址，即雙重對映攻擊；

5)禁用WXN保護，注入重寫的系統功能；

其中，WXN,MMU,TTBR通過CP15安全協處理器的相關控制暫存器設定．由此可見，敵手需要通過修改相應頁表表項和相關控制暫存器，來消除虛擬記憶體保護機制對核心程式碼區的保護.

修改相關控制暫存器(MMU,WXN,TTBR)的指令和頁表更新操作．ARM架構提供專門修改控制暫存器的指令(ldc和mcr)，直接將核心程式碼中的這2類指令替換為smc指令即可．這類監控點觸發時，安全世界需確保：

1)所有關閉MMU保護的操作被禁止．

2)所有關閉WXN保護的操作被禁止．

3)對於更新頁表基址暫存器(TTBR)的操作，安全世界需首先確保新頁表基址與某一合法程序sw_pcb中儲存的頁表基址一致，即確保此操作發生在正常的程序切換過程中．如果是程序建立後首次排程產生的TTBR切換，安全世界要確保新程序頁表內容不違背正常世界地址空間的許可權策略，即核心程式碼區域必須對映為只讀，使用者地址空間對映必須包含PXN屬性，且對於包含核心程式碼的實體記憶體，不能以可寫方式對映到其他虛擬地址，這要求安全世界記錄所有核心程式碼對應的實體記憶體頁地址．如果上述策略檢查通過，則允許TTBR更新操作執行，否則禁止．

對於修改控制暫存器的操作，ARM提供專門的指令，而頁表更新的操作是通過普通的記憶體讀寫指令完成的，安全世界無法區分核心對於頁表的更新和對非頁表記憶體的更新，而在所有記憶體寫操作處插入監控點會導致監控事件頻繁觸發，嚴重影響效率，因此不能通過識別記憶體寫指令的方式部署對頁表更新的監控點．TIMA借鑑虛擬化技術中影子頁表的管理機制，強制所有包含頁表的實體記憶體對映為只讀，每次核心更新頁表時，將由於頁許可權錯誤產生資料中止異常，跳轉到異常向量表執行異常處理程式．因此在異常向量表的資料中止異常處插入一個監控點，即可確保所有的頁表更新被安全世界攔截．為保證所有頁表記憶體被對映為只讀，安全世界需要在TTBR切換和頁表更新監控點中加入新的安全策略，即確保所有頁表實體記憶體為只讀且不存在可寫的多重對映．這要求安全世界在所有頁表建立時，記錄其實體地址．ARM-Linux預設採用二級頁表格式，對一級頁表，其建立發生在核心初始化自身頁表swap_pg_dir，並嘗試將其寫入TTBR時，或程序建立後首次排程，進行TTBR切換時．對二級物理頁表，其建立發生在一級頁表更新事件中，兩者都可以被已有監控點攔截，從而確保上述策略能夠被安全世界有效驗證．頁表更新陷入安全世界的流程如下圖所示

在資料中止異常監控事件觸發時，安全世界需要對3種不同情況分別進行處理：1)當異常由系統正常功能觸發時，如程序建立時的寫時拷貝機制，安全世界跳轉到正常世界相應的處理函式處即可．2)當異常由合法的頁表更新請求觸發時，如mmap系統呼叫，安全世界獲取呼叫引數代替核心完成頁表更新操作．雖然頁表記憶體在正常世界中對映為只讀，但2個世界具有獨立的地址空間對映，安全世界可以將正常世界實體記憶體對映到自身地址空間中進行修改，因此可以代理頁表更新操作．3) 對於其他頁表更新請求，安全世界需執行與TTBR修改操作相同的策略檢查．安全世界可以讀取正常世界的錯誤地址暫存器(data fault address register, DFAR)，錯誤狀態暫存器(data fault status register, DFSR)來獲取出錯地址和錯誤型別，以此區分上述3種情況．