使用内存保护单元的优势

WC211314F

已于 2023-07-05 16:47:36 修改

阅读量328

点赞数

文章标签：单片机 mcu

于 2023-07-05 16:34:56 首次发布

原文链接：https://freertos.org/zh-cn-cmn-s/2021/02/benefits-of-using-the-memory-protection-unit.html

版权

FreeRTOS 202012 LTS 支持结束

目前你用来阅读这篇文章的设备依赖处理器的内存管理单元 (MMU) 对每个运行中的应用程序执行沙箱处理。如果用户设备不具备防止错误访问甚至恶意访问错误内存的能力（无论是操作系统数据还是其他任务数据），则用户设备将成为漏洞和安全漏洞的雷区。

涉及嵌入式项目时，您所用的内存保护单元 (MPU) 可以提供许多同等优势。通过MPU，用户通常可以特权模式或非特权模式运行，并使用一组“区域”来确定当前执行的代码是否有权限访问代码和数据。每个区域都是一个连续的内存块，具有该内存的一组权限；既有特权访问权限，也有非特权访问权限。特权代码通常可访问设备的大部分（如果并非全部）内存，而非特权代码则只能访问小得多的子集。

这些区域在应用程序的整个运行期间不必相同。MPU可以根据每项任务修改区域；当任务变为运行状态时，每个任务都可配置其独特的区域集。这允许您只授权有需要的任务访问代码和数据。在每次上下文切换期间，使用 MPU 的嵌入式操作系统将对各任务的区域和特权级别进行管理。

图 1：全局区域和任务 MPU 区域示例。点击放大。

图 1 显示了两个不同任务在使用 MPU 时如何查看系统内存。共有两个全局 MPU 区域，其中一个在闪存开始时，另一个在 RAM 开始时。任务 1 获授权执行访问任务 2 无法访问的部分闪存代码。相反，任务2则获授权执行访问闪存内的不同代码集。如果任务 1 试图在此处执行任务 2 的任何代码，则会生成 MPU 错误，反之亦然。

虽然任务 1 和任务 2 均含有 MPU 覆盖 RAM 中相同内存范围的区域，但二者并未获得相同权限。任务 1 只能读取区域内的数据，而任务 2 可以读取和写入。在任务 2 作为特定数据源而任务 1 使用这些数据但绝无数据修改权限的情境中，这种方式可能行之有效。

FreeRTOS 在其多个 ARM Cortex 端口（M3、M4、M23 和 M33）以及其 Aurix MPU 和 Xtensa ESP32 端口中提供 Tricore 支持。与 FreeRTOS 类似的安全关键系统 SAFE RTOS 在所有可用的平台上都支持 MPU。

为什么使用 MPU？

在嵌入式项目中使用 MPU 可降低顿挫感、省时省钱。对于开发人员而言，MPU 的最大好处在于开发初期便能够捕获漏洞。及早发现漏洞可显著缩短开发时间。在项目后期修复代码漏洞可以减少文档及测试代码所需的返工。另一方面，尽早修复漏洞将减少项目后期阶段代码中的错误数量。由于不太可能同时存在多个漏洞，所以此举将简化识别修复剩余漏洞的过程。这样帮助您把握和跟上进度，防止发生意外延误。

MPU 是如何实现这一点的？保护与当前执行代码无关联的所有数据是最为行之有效的方法。可以仅使用两个 RTOS 任务（任务 A 和任务 B）来举一个简单的例子。任务 A 和任务 B 不应彼此交互，但存在一个漏洞，其中任务 A 可能意外写入任务 B 偶尔使用的某些数据。覆盖此数据对任务 A 的正确操作无影响。但任务 B 尝试使用损坏的数据时，任务 B 可能出现异常故障。如果并未配置 MPU 来防止任务 A 写入任务 B 的数据，则开发人员可能需要很长时间才能跟踪到此错误。如果该错误细微不易察觉，或者任务 B 很少使用该数据，那么这一问题将会极难解决。但如果使用 MPU ，错误写入操作即刻出现异常，进而可以确定哪一行代码导致故障。

由于用户可以设置 MPU 区域，防止非特权代码访问 0x0 内存，因此， MPU 甚至可以在某些架构上帮助用户检测空指针偏移。

在您的应用程序中，一组设计良好的 MPU 区域可以显式保护重要的内存区域，以防止特定的问题。例如将缓冲区定位在 MPU 区域的末端来防止缓冲区溢出。用户还可以将任务栈放置在任何非特权代码无法访问的区域。设置完成后，每个任务必须使用它们自己的某个 MPU 区域，明确通过自行授权获得对其堆栈的访问权限。如果使用 MPU，用户须真正思考应用程序的结构，以便在任务之间明确分离数据，形成稳健性强且可维护的代码库。

何时不必使用 MPU？

以下两种情况下， 您不会在处理器上使用MPU ：简单项目和性能关键项目。第一种情况比较直观：使用 MPU 复杂性增加，可能不利于极简应用程序。您无需设置覆盖您的闪存、MPU 和外围设备的 RAM 区域，您的 blinky 演示也可能成功。

如果用户需要处理器中的各项性能发挥到极致，那么因使用 MPU 而产生的系统开销，可能会影响用户使用。由于每项任务均需要多个待编程的 FreeRTOS 区域，因此，MPU 的 MPU 端口中的任务上下文切换例程更长。当正在切换上下文时，RTOS 必须对各项任务 MPU 区域进行编程，同时执行例如堆叠使用过的寄存器等常规任务。此外，由于内核代码和数据受 MPU 保护，因此所有内核函数调用均须受包装函数保护。此包装函数仅在调用内核函数之前，提高处理器的权限级别，随即还原权限并返回。这一过程不仅会增加运行代码所需时间，还可能增加任务所需堆栈大小。任务的控制块还须在其 MPU 区域存储信息，并且在某些安全关键 RTOS 的情况下例如 SAFERTOS，则也将存储此数据的镜像。

用户还应注意，使用 MPU 可能会比较难，有时甚至会令人很沮丧。应用程序设计需要更多时间，因为设计人员必须为每项任务考虑 MPU 区域。这些区域中的错误（例如区域长度不正确、权限不正确或未正确链接应用程序的数据）可能会令调试变得困难。

了解有关 MPU 使用方法的更多信息

虽然短期内学习使用 MPU 可能困难重重，并且在用户代码中添加了少量虚耗，但这些优势较为明显。FreeRTOS 在 ARMv7-M（Cortex-M3、Cortex-M4 和 Cortex-M7 微控制器）和 MPU（Cortex-M23 和 Cortex-M33 微控制器）核心上提供官方 ARMv8-M 支持。请参阅更多有关 FreeRTOS 内存保护支持 https://freertos.org/zh-cn-cmn-s/FreeRTOS-MPU-memory-protection-unit.html的信息。