這是四部分系列文章的第四部分，介紹了獨(dú)特的產(chǎn)品 MPU?Plus? 和使用 Cortex-M 內(nèi)存保護(hù)單元 （MPU） 來提高微控制器單元 （MCU） 安全性的方法。第 3 部分介紹了分區(qū)問題，包括堆使用、函數(shù)調(diào)用 API、中斷、父子任務(wù)和任務(wù)本地存儲(chǔ)。 第 2 部分 介紹了分區(qū)、安全啟動(dòng)、MPU 控制和系統(tǒng)調(diào)用。 第 1 部分介紹了一些介紹性概念：MMU 與 MPU、對(duì)安全性、保護(hù)目標(biāo)、MPU-Plus 快照、Cortex-v7M 和 v8M 以及 MPU 操作的日益增長(zhǎng)的需求。

動(dòng)態(tài)區(qū)域

如前所述，創(chuàng)建靜態(tài)區(qū)域是一個(gè)耗時(shí)、乏味且容易出錯(cuò)的過程。下面討論的動(dòng)態(tài)數(shù)據(jù)區(qū)域有助于減輕部分負(fù)擔(dān)。

動(dòng)態(tài)數(shù)據(jù)區(qū)域

以下函數(shù)允許在初始化期間或從 ptask 動(dòng)態(tài)創(chuàng)建數(shù)據(jù)區(qū)域：

u8* mp_RegionGetHeapR（rp， sz， sn， attr， name， u32 hn）;

u8* mp_RegionGetPoolR（rp， pool， sn， attr， name）;

BOOLEAN mp_RegionMakeR（rp， bp， sz， sn， attr， name）;

其中 rp 是指向創(chuàng)建區(qū)域的指針，sz 是區(qū)域大小，sn 是槽號(hào)，attr 是屬性，name 是區(qū)域的可選名稱，hn 是堆號(hào)，pool 是塊池句柄，并且bp 是一個(gè)塊指針。以上可用于分別從堆、塊池或靜態(tài)塊（例如 stat_blk［100］）創(chuàng)建數(shù)據(jù)區(qū)域。

通常 rp 指向動(dòng)態(tài)保護(hù)區(qū)域數(shù)組 dpr［n］ 中的一個(gè)條目。然后，動(dòng)態(tài)區(qū)域的 MPA 模板槽設(shè)置如下：

mpa_tmplt_t2a［sn］ = MP_DYN_RGN（dpr［n］）;

其中 MP_DYN_RGN（） 加載 dpr［n］ 的地址并在模板槽中設(shè)置動(dòng)態(tài)區(qū)域標(biāo)志。

這些函數(shù)通常應(yīng)在任務(wù)開始運(yùn)行之前的系統(tǒng)初始化期間調(diào)用。但是，它們也可以被 ptasks 調(diào)用，它們正在創(chuàng)建和初始化其他任務(wù)。

動(dòng)態(tài)數(shù)據(jù)區(qū)域可用于存儲(chǔ)靜態(tài)數(shù)組和結(jié)構(gòu)的混合，它們可以在任務(wù)之間共享。盡管它們不能用于全局變量，但它們確實(shí)節(jié)省了在代碼中定義部分、在鏈接器命令文件中定義塊以及在模板中定義靜態(tài)區(qū)域的復(fù)雜性。因此，它們更簡(jiǎn)單，使用起來更不容易出錯(cuò)。鑒于 sz 可能是 sizeof（） 的總和，它們?cè)陂_發(fā)過程中也可能更加靈活。

受保護(hù)的數(shù)據(jù)塊

以下受保護(hù)的塊函數(shù)允許從 utasks 或 ptasks創(chuàng)建受保護(hù)的數(shù)據(jù)塊，并在運(yùn)行時(shí)釋放它們：

u8* smx_PBlockGetHeap（sz， sn， attr， name， hn）;

u8* smx_PBlockGetPool（pool， sn， attr， name）;

BOOLEAN smx_PBlockMake（bp， sz， sn， attr， name）;

BOOLEAN smx_PBlockRelHeap（bp， sn， hn）;

BOOLEAN smx_PBlockRelPool（bp， sn， pool， clrsz）;

其中參數(shù)與動(dòng)態(tài)區(qū)域的參數(shù)相同，除了釋放函數(shù)，bp 是其中一個(gè) Get 函數(shù)返回的塊指針，clrsz 指定在第一個(gè)字的空閑塊鏈接之后要清除多少字節(jié)堵塞?；旧?，塊是從堆或池中獲得的，或者是由靜態(tài)塊制成的。為其創(chuàng)建一個(gè)區(qū)域并將其加載到當(dāng)前任務(wù)的 MPU［sn］ 和 MPA［sn］ 中。堆可以是任何堆，包括主堆。這是安全的，因?yàn)槿绻?a target="_blank">黑客侵入任務(wù)，MPU 會(huì)阻止他訪問受保護(hù)塊之外的堆內(nèi)存。

動(dòng)態(tài)分配的塊可用于緩沖區(qū)、工作區(qū)、消息（見下文）或結(jié)構(gòu)。如果一個(gè)任務(wù)被寫成它的所有靜態(tài)變量都在一個(gè)結(jié)構(gòu)中，例如：

u8* 副總裁；

vp-》var1 = vp-》var2 + vp-》var3；

然后可以使用動(dòng)態(tài)塊來存儲(chǔ)其靜態(tài)變量。上面的 vp 是 BlockGet（） 函數(shù)返回的塊指針。（注意 vp 是一個(gè)自動(dòng)變量，因此存儲(chǔ)在任務(wù)堆棧中，而不是結(jié)構(gòu)中）。如果一個(gè)函數(shù)不是這樣寫的，轉(zhuǎn)換它并不困難——只需在每個(gè)靜態(tài)變量引用前插入“vp-》”，定義一個(gè)VP結(jié)構(gòu)，變量名作為字段，定義vp作為指向副總裁。

受保護(hù)數(shù)據(jù)塊和動(dòng)態(tài)數(shù)據(jù)區(qū)域的區(qū)別在于，受保護(hù)數(shù)據(jù)塊可以在任務(wù)運(yùn)行時(shí)被任務(wù)獲取，而動(dòng)態(tài)數(shù)據(jù)區(qū)域是在初始化過程中創(chuàng)建的，并且指向它的指針被加載到任務(wù)的模板中。 受保護(hù)數(shù)據(jù)塊對(duì)于 utasks 創(chuàng)建臨時(shí)緩沖區(qū)和受保護(hù)消息特別有用，如下所述。

使用動(dòng)態(tài)區(qū)域

使用動(dòng)態(tài)數(shù)據(jù)區(qū)域、受保護(hù)數(shù)據(jù)塊或 TLS 來替換 task_data 靜態(tài)區(qū)域需要將所有任務(wù)全局變量重新定義為一個(gè)或多個(gè)結(jié)構(gòu)中的字段。如果結(jié)構(gòu)名稱很短，這不會(huì)明顯使代碼復(fù)雜化。例如，這里有一些來自 eheap 的代碼：

hvp［hn］-》errno = EH_OK;

bsmap = hvp［hn］-》bsmap;

csbin = hvp［hn］-》csbin;

為了支持多個(gè)堆，有必要將離散的全局變量更改為結(jié)構(gòu)數(shù)組 hvp［hn］。在這種情況下，hvp［hn］-》 被粘貼到代碼中每個(gè)全局變量名的開頭。Cortex-M 架構(gòu)允許訪問結(jié)構(gòu)的速度與離散全局變量一樣快或更快——函數(shù)中的一條 LDM 指令加載結(jié)構(gòu)基地址，然后通過恒定偏移量訪問字段。編譯器可能無(wú)法對(duì)函數(shù)使用的所有離散全局變量執(zhí)行此操作，因此訪問它們可能會(huì)更慢。使用結(jié)構(gòu)還允許將一起使用的字段分組在一起，如果處理器具有指令緩存，則可以提高性能。通過使用 sizeof（） 確定指針偏移量，可以自動(dòng)處理多個(gè)結(jié)構(gòu)和數(shù)組。

受保護(hù)的消息

smx 消息由鏈接到數(shù)據(jù)塊的消息控制塊 （MCB） 組成。smx_MsgMake（） 函數(shù)可用于將受保護(hù)的數(shù)據(jù)塊變成受保護(hù)的消息，并且當(dāng)前任務(wù)成為消息所有者。消息被發(fā)送到消息交換并從消息交換接收。在消息交換中，消息的 MCB 與交換的控制塊鏈接到等待消息的隊(duì)列中。

圖 11 說明了在任務(wù)之間傳輸受保護(hù)的消息。TaskA 顯示為綠色，TaskB 顯示為藍(lán)色。黃色代表 pcode 和 pdata，它們受任一任務(wù)的保護(hù)。如圖所示，TaskA 在 slot sn 中獲取一個(gè) pdata 塊，將其制成消息，加載它，然后將其發(fā)送到 Xchg。作為發(fā)送操作的一部分，MPU 和 TaskA 的 MPA 中的 slot sn 被清除。請(qǐng)注意，其他消息正在 Xchg 處等待，并且 MCBi 位于消息隊(duì)列的頂部。TaskB 在插槽 sx 中接收它。請(qǐng)注意，rbar 和 rasr 是從 MCBi 獲得的，用于在插槽 sx 中為消息的 pdata 塊創(chuàng)建區(qū)域。TaskB 驗(yàn)證消息，該消息依賴于應(yīng)用程序，可能包括對(duì)數(shù)據(jù)進(jìn)行范圍和一致性檢查。然后它處理 pdata，取消消息，

smx 中添加了兩個(gè)受保護(hù)的消息函數(shù)：

MCB_PTR smx_PMsgReceive（xp， bpp， sn， timeout）;

BOOLEAN smx_PMsgSend（mp， xp， sn， pri， rp）;

其中 xp 是交換指針，bpp 是指向消息塊指針的指針，sn 是 MPU/MPA 槽號(hào)，timeout 以刻度為單位，mp 是消息指針，pri 是消息優(yōu)先級(jí)，rp 是回復(fù)指針（例如到交易所發(fā)送回復(fù)消息。）

如圖 11 所示，當(dāng)一個(gè)受保護(hù)的消息被發(fā)送時(shí)，它在 MPU 和當(dāng)前任務(wù)的 MPA 中的 slot sn 被清除。因此，即使發(fā)送任務(wù)保留了指向消息塊的指針（例如 bpp），它也無(wú)法訪問消息塊。這阻止了在另一個(gè)分區(qū)中的接收任務(wù)驗(yàn)證消息后更改消息的黑客技術(shù)。在消息被另一個(gè)分區(qū)中的接收任務(wù)更新后，它還會(huì)阻止讀取消息。

在交換器中，消息塊區(qū)域信息存儲(chǔ)在消息的 MCB 中，交換器是消息的所有者。當(dāng)消息被接收任務(wù)接收時(shí)，其消息塊區(qū)域信息被加載到 MPU 和接收者 MPA 的指定槽 sx 中，接收任務(wù)成為消息所有者。（sx 不必與發(fā)送任務(wù)使用的插槽相同。）

現(xiàn)在，接收任務(wù)可以讀取和修改消息，并可能將其發(fā)送到另一個(gè)交換器。因此，可以創(chuàng)建一條消息，加載數(shù)據(jù)，傳遞給一個(gè)任務(wù)以檢查數(shù)據(jù)并對(duì)其進(jìn)行加密，然后傳遞給第三個(gè)任務(wù)以通過網(wǎng)絡(luò)發(fā)送它。請(qǐng)注意，發(fā)送任務(wù)和接收任務(wù)之間是完全隔離的。當(dāng)然，發(fā)件人可以發(fā)送某種破壞性消息。因此，接收者必須在接受消息之前執(zhí)行驗(yàn)證。這種安全級(jí)別是特定于應(yīng)用程序的。

分區(qū)門戶

正如第 3 部分中所討論的，分區(qū)門戶可以將客戶端分區(qū)與服務(wù)器分區(qū)隔離開來，并且是實(shí)現(xiàn) 100% 分區(qū)隔離所必需的，這對(duì)于實(shí)現(xiàn)強(qiáng)大的安全性至關(guān)重要。它們建立在上述受 smx 保護(hù)的消息之上。受保護(hù)的消息滿足 Arm PSA Secure IPC 要求（參見第 1 部分中的參考資料 3），無(wú)需進(jìn)行消息復(fù)制。因此，與普通函數(shù)調(diào)用 API 相比，引入門戶可能不會(huì)顯著降低性能。

如圖 12 所示，分區(qū)門戶由交易所組成，標(biāo)記為 XI 和 XO — 每個(gè)方向一個(gè)。添加到客戶端分區(qū)的代碼（由虛線右側(cè)的區(qū)域表示）將函數(shù)調(diào)用及其參數(shù)轉(zhuǎn)換為發(fā)送到 XI 交換的消息。然后，客戶端任務(wù)在 XO 交換處等待回復(fù)消息。

在添加到服務(wù)器端的代碼中的服務(wù)器任務(wù)（由虛線左側(cè)的區(qū)域表示）正在 XI 交換處等待消息。當(dāng)它收到一條消息時(shí)，它會(huì)使用消息中的參數(shù)將其轉(zhuǎn)換為函數(shù)調(diào)用。然后它將來自函數(shù)調(diào)用的返回信息放入它發(fā)送到 XO 交換器的消息中?？蛻舳巳蝿?wù)從 XO 交換接收消息，并將信息返回給客戶端分區(qū)中的調(diào)用者。

顯然，將分區(qū)之間的函數(shù)調(diào)用接口轉(zhuǎn)換為分區(qū)門戶需要做很多工作。但是，結(jié)果是強(qiáng)大的分區(qū)隔離。當(dāng)然，這會(huì)降低性能。數(shù)據(jù)緩沖區(qū)在消息中傳遞。如果正在修改現(xiàn)有代碼，則可能需要將數(shù)據(jù)從緩沖區(qū)復(fù)制到消息，反之亦然。如果正在創(chuàng)建新代碼，則可以將其設(shè)計(jì)為在無(wú)復(fù)制模式下處理消息。在后一種情況下，性能影響可能很小。

請(qǐng)注意，大型基于 MMU 的系統(tǒng)中也存在數(shù)據(jù)復(fù)制問題。事實(shí)上，在這種情況下，由于虛擬地址空間，不存在無(wú)復(fù)制解決方案。因此，在基于 MPU 的系統(tǒng)中通過門戶進(jìn)行的分區(qū)間通信可??能比基于 MMU 的系統(tǒng)中的進(jìn)程間通信更有效。這有利于較小的分區(qū)，每個(gè)分區(qū)做的工作較少，因此系統(tǒng)安全性可能更好。擁有更小的分區(qū)也使冗余路徑更加實(shí)用——例如，兩條獨(dú)立的路徑可以將可疑活動(dòng)報(bào)告回總部。

調(diào)試支持

啟用安全功能后，調(diào)試代碼更具挑戰(zhàn)性。出于這個(gè)原因，SecureSMX 允許在早期代碼開發(fā)和調(diào)試期間覆蓋大多數(shù)安全功能，以幫助加快這些階段?？梢栽诤笃谡{(diào)試期間重新啟用安全功能，通過檢測(cè)堆棧和緩沖區(qū)溢出以及其他問題，它們實(shí)際上變得有用。此外，建議在發(fā)展過頭之前開始解決安全問題。

smxAware? 包括許多與安全相關(guān)的功能，可幫助調(diào)試基于 MPU-Plus 的軟件。它顯示當(dāng)前 MPU 和所有任務(wù) MPA，以及命名區(qū)域。圖形內(nèi)存映射概覽顯示內(nèi)存條中的 MPU 區(qū)域。顯示了開始和結(jié)束地址以及排除的子區(qū)域。在所有顯示中，都會(huì)標(biāo)記對(duì)齊和重疊等錯(cuò)誤。有關(guān)更多信息，請(qǐng)參閱：

smxAware 用戶指南， Marty Cochran 和 David Moore，Micro Digital Inc.

結(jié)論

軟件工程已經(jīng)失去了天真——我們現(xiàn)在正在為一個(gè)充滿敵意的世界進(jìn)行設(shè)計(jì)。實(shí)現(xiàn)完美的安全性是不可能的，但它可以是相當(dāng)不錯(cuò)的。毫無(wú)疑問，即使是你能設(shè)計(jì)的最好的安全措施，一個(gè)堅(jiān)定的黑客也會(huì)發(fā)現(xiàn)一些弱點(diǎn)。因此，有必要分析所有代碼與可能的威脅。

在某些情況下，一段代碼可能設(shè)計(jì)和實(shí)現(xiàn)都很糟糕，因此很容易受到攻擊，以至于重新編寫它是一個(gè)絕望的提議。在這種情況下，使用本文中描述的方法將代碼保持原樣并將其放入完全隔離的 umode 分區(qū)中可能更具成本效益。然后有必要設(shè)計(jì)一種策略來處理不可避免的闖入并實(shí)施必要的代碼來處理它。在此過程中，可能會(huì)發(fā)現(xiàn)一些潛在的錯(cuò)誤。

如果升級(jí)遺留代碼以提高現(xiàn)有產(chǎn)品的安全性，或者如果使用遺留代碼開發(fā)新產(chǎn)品，主要工作通常是重組遺留代碼。所需的重新編碼量可能很小，這取決于代碼的結(jié)構(gòu)如何。當(dāng)然，新代碼的結(jié)構(gòu)應(yīng)該從一開始就保證安全。

安全性為產(chǎn)品開發(fā)增加了另一個(gè)維度。不僅要考慮如何實(shí)現(xiàn)功能，還要考慮黑客如何訪問該功能以造成損害或竊取私人數(shù)據(jù)。MMF 在調(diào)試過程中很煩人，但它們證明了硬件安全機(jī)制確實(shí)有效！MPU-Plus 的目標(biāo)是提供一條既能實(shí)現(xiàn)良好安全性又不會(huì)過度痛苦的路徑。

審核編輯：郭婷