這是四部分系列文章的第三部分，介紹了獨(dú)特的產(chǎn)品 MPU?Plus? 和使用 Cortex-M 內(nèi)存保護(hù)單元 （MPU） 來(lái)提高微控制器單元 （MCU） 安全性的方法。第 2 部分介紹了分區(qū)、安全啟動(dòng)、MPU 控制和系統(tǒng)調(diào)用。 第 1 部分介紹了一些介紹性概念：MMU 與 MPU、對(duì)安全性、保護(hù)目標(biāo)、MPU-Plus 快照、Cortex-v7M 和 v8M 以及 MPU 操作的日益增長(zhǎng)的需求。

分區(qū)問(wèn)題

定義分區(qū)只是安全過(guò)程中的一步。我們還必須關(guān)注黑客入侵分區(qū)后會(huì)做什么。在這方面，出現(xiàn)了四個(gè)主要問(wèn)題領(lǐng)域：

堆使用。

函數(shù)調(diào)用 API。

中斷。

任務(wù)創(chuàng)建和控制。

還有其他的，但這些現(xiàn)在就可以了。下面討論解決方案。

堆

特別是對(duì)于面向?qū)ο蟮恼Z(yǔ)言，在現(xiàn)代應(yīng)用程序代碼中使用堆是很流行的。隨著嵌入式系統(tǒng)變得更加復(fù)雜并且預(yù)計(jì)會(huì)執(zhí)行更多操作，尤其是在物聯(lián)網(wǎng)系統(tǒng)中，這是一個(gè)不斷增長(zhǎng)的趨勢(shì)。此外，一些中間件使用堆。

utasks 直接訪問(wèn)主堆顯然是不可接受的。黑客可以很容易地通過(guò)耗盡或破壞整個(gè)系統(tǒng)來(lái)破壞整個(gè)系統(tǒng)。因此，必須在需要堆的 umode 分區(qū)和可能的 pmode 分區(qū)中使用專用堆。為了解決這個(gè)問(wèn)題，最近升級(jí)了eheap?以支持多個(gè)堆。這些堆通常很小，但不一定如此。鑒于它傾向于支持小堆，這是一個(gè)很好的解決方案。有關(guān)更多信息，請(qǐng)參閱：

eheap 用戶指南， Ralph Moore，Micro Digital， Inc.

圖 6 說(shuō)明了從主堆分配一個(gè)小的專用堆。來(lái)自 TaskA 的堆調(diào)用僅在該堆上運(yùn)行，不能超出該堆。TaskA 只能訪問(wèn)受保護(hù)塊或受保護(hù)消息的主堆，如虛線所示，不能超出受保護(hù)塊。（受保護(hù)的塊和消息將在后面討論。）因此，主堆受到 TaskA 的保護(hù)，TaskA 可能是 utask 或 ptask。

專用堆的內(nèi)存也可以是鏈接器分配的靜態(tài)內(nèi)存塊。

函數(shù)調(diào)用 API

函數(shù)調(diào)用是軟件部分之間的主要 API。這就產(chǎn)生了一個(gè)問(wèn)題。例如，應(yīng)用程序分區(qū)可能需要文件系統(tǒng)服務(wù)。因此，文件系統(tǒng) API 函數(shù)必須可供它訪問(wèn)。文件系統(tǒng)中的子例程必須可供文件系統(tǒng) API 函數(shù)訪問(wèn)，并且驅(qū)動(dòng)程序函數(shù)必須可供子例程訪問(wèn)。此外，所有這些函數(shù)都必須可以訪問(wèn)文件緩沖區(qū)和全局變量。因此，整個(gè)蠟球——文件系統(tǒng)和驅(qū)動(dòng)程序——最終位于應(yīng)用程序分區(qū)的代碼區(qū)域中，而文件緩沖區(qū)和全局變量最終位于應(yīng)用程序分區(qū)的數(shù)據(jù)區(qū)域中。更糟糕的是，如果其他分區(qū)需要文件 I/O，那么這些區(qū)域?qū)⒊蔀檫@些分區(qū)之間的公共區(qū)域。

如果黑客侵入其中一個(gè)分區(qū)，他就可以通過(guò)公共區(qū)域訪問(wèn)其他分區(qū)。雖然他不一定能控制那些分區(qū)，但他肯定可以把它們弄下來(lái)，甚至可能破壞整個(gè)系統(tǒng)。這個(gè)問(wèn)題的解決方案是分區(qū)門戶，這將在第 4 部分中討論。

中斷

中斷會(huì)導(dǎo)致立即切換到 pmode，從而將 pmode 暴露給外部?；叵胍幌?，任何 pmode 功能都距離打開(kāi) Vault 僅一步之遙，這是一個(gè)嚴(yán)重的安全問(wèn)題。在許多情況下，如圖 7 所示，只需要在 ISR 或 ISR + LSR 中精心編寫的幾行代碼。（LSR 提供??延遲中斷處理。）

不幸的是，有限數(shù)量的 MPU 插槽加劇了中斷問(wèn)題。最初，我們定義了一個(gè)sys_code區(qū)域來(lái)包含中斷所需的 ISR 和其他系統(tǒng)代碼，以及一個(gè)用于所需數(shù)據(jù)的sys_data區(qū)域。Vault、Security 和其他敏感分區(qū)被排除在這些區(qū)域之外。sys_code 和 sys_data 存在于每個(gè)任務(wù) MPA 中。因此，當(dāng)發(fā)生中斷時(shí)，ISR 和 LSR 可以運(yùn)行，但對(duì)其他 pcode 和 pdata 的訪問(wèn)權(quán)限有限。如果 MPU 有足夠的插槽，這仍然是我們的首選方案。

sys_code 和 sys_data 區(qū)域是特權(quán)區(qū)域，因此不能由 utasks 使用。不幸的是，我們發(fā)現(xiàn)對(duì)于 8 插槽 MPU，我們不能為每個(gè) utask 浪費(fèi)兩個(gè)插槽。因此，每當(dāng)切換到 utask 時(shí)，標(biāo)準(zhǔn) MPU-Plus 都會(huì)打開(kāi)背景區(qū)域 （BR）。BR 在 umode 中不起作用，但是當(dāng)中斷發(fā)生時(shí)它允許 ISR 和 LSR 運(yùn)行。不幸的是，在 pmode 中打開(kāi) BR 也允許訪問(wèn)所有內(nèi)容 - 因此 Vault 是打開(kāi)的！

在可行的情況下，建議 ISR 立即將最少的 sys_code 和 sys_data 區(qū)域加載到 MPU 中并關(guān)閉 BR。這至少會(huì)關(guān)閉保險(xiǎn)庫(kù)并使訪問(wèn)它變得更加困難。退出時(shí)，ISR 當(dāng)然必須恢復(fù)被替換的區(qū)域。

對(duì)于 ptask，sys_code 和 sys_data 區(qū)域存在且可用。它們有些擴(kuò)大以包括其他系統(tǒng)功能。因此，這兩個(gè)區(qū)域不會(huì)造成問(wèn)題，并且每當(dāng)運(yùn)行 ptask 時(shí)都會(huì)關(guān)閉 BR，以保護(hù) Vault 等。

圖 8 說(shuō)明了采用的方法。注意 ptask 的 sys_code 和 sys_data 區(qū)域。utask 沒(méi)有這些區(qū)域，因?yàn)?BR 已打開(kāi)。因此，可以將 utask MPA 擴(kuò)展兩個(gè)插槽。這樣就可以將 MPU 插槽 4 中的外圍區(qū)域分別拆分為插槽 4 和 5 中的單獨(dú) USB 主機(jī)和 UART1 區(qū)域。這提供了更好的安全性，因?yàn)?USB 主機(jī)和 UART1 之間的內(nèi)存中有幾個(gè)外圍設(shè)備，現(xiàn)在這些外圍設(shè)備被 utask 排除在訪問(wèn)之外。插槽 6 也可用于動(dòng)態(tài)區(qū)域（參見(jiàn)第 4 部分）。請(qǐng)注意，對(duì)于這兩個(gè)任務(wù)，都有任務(wù)代碼和任務(wù)數(shù)據(jù)區(qū)域以及公共代碼和公共數(shù)據(jù)區(qū)域。后一個(gè)區(qū)域?qū)τ?ptask 和 utask 是不一樣的——即使 ptask 最終變成了 utask。

當(dāng)需要超過(guò)最小的中斷處理時(shí)，圖 9 在左側(cè)說(shuō)明了要做什么，右側(cè)是不做什么。目標(biāo)是將盡可能多的處理轉(zhuǎn)移到可以更好地遏制黑客攻擊的 utask 中。在這里，對(duì)于簡(jiǎn)單的中斷，目標(biāo)是 ISR 和 LSR 中的代碼最少。此外，必須仔細(xì)編寫此代碼——它必須采用廣泛的范圍檢查和其他旨在抵御黑客攻擊的測(cè)試。如果還需要高性能，這是具有挑戰(zhàn)性的。

盡管有上述注意事項(xiàng)，但可能需要在 pmode 中進(jìn)行完全中斷處理（即圖 9 的右側(cè)）。這肯定更快更簡(jiǎn)單，特別是如果有代碼的關(guān)鍵部分并且正在調(diào)用系統(tǒng)服務(wù)。在這種情況下，最好在 ptask 中進(jìn)行處理，而不是在 ISR 或 LSR 中進(jìn)行處理，因?yàn)?ptask 提供了更多的保護(hù)，因?yàn)?BR 被禁用，因此它僅限于 MPU 區(qū)域。

更多中斷問(wèn)題

中斷問(wèn)題不會(huì)消失。另一組問(wèn)題圍繞著禁用和啟用中斷。在 umode 中，這兩個(gè)操作是無(wú)操作的。所以，如果中斷被禁用以保護(hù) umode 代碼中的關(guān)鍵部分，你猜怎么著？他們沒(méi)有被禁用，你有一個(gè)隱藏的問(wèn)題！在將遺留代碼轉(zhuǎn)換為 ucode 時(shí)，這可能會(huì)讓人頭疼，因?yàn)橹袛嘟猛ǔＳ糜诒Ｗo(hù)代碼的關(guān)鍵部分。也不能從 umode 禁用中斷。如果可以的話，這將是黑客的戰(zhàn)場(chǎng)。請(qǐng)注意，這在 pmode 中不是問(wèn)題，因?yàn)樗刑貦?quán)指令都可以在 pmode 中訪問(wèn)。

解決這個(gè)問(wèn)題的方法是允許 utasks 屏蔽和取消屏蔽特定的中斷，使用 smx 函數(shù) sb_IRQMask（irq_num） 和 sb_IRQUnmask（irq_num）。允許任務(wù)屏蔽和取消屏蔽的 IRQ 范圍存儲(chǔ)在其 TCB 中。因此，黑客可以造成的破壞僅限于任務(wù)使用的中斷。對(duì)于遺留代碼，有必要跟蹤所有中斷被禁用和啟用的位置，用屏蔽和取消屏蔽替換它們，然后將允許的 IRQ 范圍加載到任務(wù) TCB 中。

為了幫助找到 umode 中中斷禁用和啟用的用途，如果在 umode 中調(diào)用，可以使用中斷禁用和啟用宏或函數(shù)的替代版本。這些有助于從宏和包裝函數(shù)或預(yù)期在 pmode 中運(yùn)行的代碼中查找誤用。

任務(wù)創(chuàng)建和控制

顯然，如果黑客可以從他已經(jīng)滲透的 umode 分區(qū)中創(chuàng)建、刪除、啟動(dòng)和停止任務(wù)，他真的會(huì)造成麻煩。因此，在 umode 中不應(yīng)允許任務(wù)功能。有人會(huì)認(rèn)為所有任務(wù)的創(chuàng)建和控制都應(yīng)該只在 pmode 中執(zhí)行。

不幸的是，這不能很好地工作，尤其是在轉(zhuǎn)換遺留代碼時(shí)。要求在 pmode 初始化期間創(chuàng)建所有任務(wù)會(huì)導(dǎo)致意想不到的限制和復(fù)雜性。在許多情況下，需要根據(jù)需要?jiǎng)?chuàng)建任務(wù)，以便在事件發(fā)生時(shí)處理它們。例如，可以在插入 USB 設(shè)備時(shí)創(chuàng)建任務(wù)，并且可以在拔下 USB 設(shè)備時(shí)刪除任務(wù)。作為另一個(gè)示例，一些 USB 控制器可以在主機(jī)和設(shè)備模式之間切換，因此需要禁用一個(gè) USB 堆棧并啟用另一個(gè)。為了節(jié)省資源，這很可能通過(guò)刪除一組任務(wù)并創(chuàng)建另一組任務(wù)來(lái)實(shí)現(xiàn)。

這個(gè)問(wèn)題的解決方案是任務(wù)族，如圖 10 所示。通常，一個(gè)分區(qū)將有一個(gè)父任務(wù)或根任務(wù)，它在 pmode 中創(chuàng)建并在 pmode 中運(yùn)行以執(zhí)行某些分區(qū)初始化。后者可能包括創(chuàng)建或產(chǎn)生一些子任務(wù)。父任務(wù)然后將自己切換到 umode，它可以在其中啟動(dòng)其子 utask，并可能創(chuàng)建和啟動(dòng)其他任務(wù)。這為動(dòng)態(tài)任務(wù)控制提供了必要的靈活性。圖 8 說(shuō)明了一個(gè)任務(wù)族。請(qǐng)注意，子任務(wù)可以創(chuàng)建其他子任務(wù)，從而成為這些子任務(wù)的父任務(wù)。

父任務(wù)可以在其子任務(wù)上創(chuàng)建、啟動(dòng)、停止、刪除和執(zhí)行其他功能。它不能對(duì)其父級(jí)或兄弟級(jí)執(zhí)行這些任務(wù)功能，也不能對(duì)其子級(jí)執(zhí)行這些任務(wù)功能。除此限制外，子級(jí)還繼承其父級(jí)的 MPA 模板和所有其他父級(jí)限制。因此，孩子不能做任何父母不能做的事情。（否則，黑客可能會(huì)滋生怪物。）

任務(wù)本地存儲(chǔ) （TLS）

任務(wù)創(chuàng)建函數(shù)允許創(chuàng)建跟隨任務(wù)堆棧的寄存器保存區(qū)域 （RSA） 的 TLS 區(qū)域：

TCB_PTR smx_TaskCreate（樂(lè)趣，pri，tlssz_ssz，fl_hn，名稱）

tlssz_ssz 是一個(gè)拆分參數(shù)：高 16 位定義 TLS 大小 tlssz，低 16 位定義堆棧大小 ssz。兩者都可以達(dá)到 64 KB。TLS 僅在 ssz 》 0 時(shí)可用——即任務(wù)堆棧必須是來(lái)自堆 hn 的永久堆棧。TLS 是一個(gè)額外受保護(hù)的任務(wù)數(shù)據(jù)塊，不需要額外的 MPU 區(qū)域。它可以以與受保護(hù)數(shù)據(jù)塊相同的方式使用（參見(jiàn)第 4 部分）。

TLS 指針存儲(chǔ)在任務(wù)的 TCB 中?？梢酝ㄟ^(guò)以下方式訪問(wèn)：

dp = （u8*）smx_TaskPeek（ut2a， SMX_PK_TLSP）;

utasks 和 ptasks 都允許此操作。TLS 只能包含結(jié)構(gòu)和數(shù)組（即緩沖區(qū)）。如果所有任務(wù)靜態(tài)變量都定義為結(jié)構(gòu)字段，任務(wù)緩沖區(qū)定義為數(shù)組，則 TLS 可以替換 task_data 區(qū)域，只要沒(méi)有其他任務(wù)嘗試訪問(wèn)任何變量（如果是，請(qǐng)將它們放入com_data 區(qū)域）。這釋放了任務(wù)數(shù)據(jù)槽以用于另一個(gè)區(qū)域，以便創(chuàng)建更小、更安全的區(qū)域。圖 8 是這種優(yōu)勢(shì)的主要示例。

審核編輯：郭婷