一般情況下，微控制器上運(yùn)行的應(yīng)用程序采用的都是單體式系統(tǒng)，即“用戶-內(nèi)核”不隔離，這也是 SoC 和 MCU 在軟件架構(gòu)上的差異之一。

傳統(tǒng)上，任何基于樂鑫芯片和 ESP-IDF 開發(fā)的應(yīng)用程序均為單體式固件，即“內(nèi)核”組件與“應(yīng)用程序”或“業(yè)務(wù)邏輯”之間不相互獨(dú)立。因此一旦應(yīng)用程序出錯(cuò)就將導(dǎo)致整個(gè)系統(tǒng)崩潰。

如今，在 ESP 特權(quán)隔離框架下，能夠創(chuàng)建兩個(gè)獨(dú)立的執(zhí)行環(huán)境：用戶應(yīng)用程序和內(nèi)核（或特權(quán)）應(yīng)用程序。

受保護(hù)的應(yīng)用程序不會受到用戶應(yīng)用程序異常的影響，極大地提高了安全性，用戶應(yīng)用程序的任何BUG都不會影響到整個(gè)系統(tǒng)。

ESP 特權(quán)隔離的亮點(diǎn)：

支持兩個(gè)獨(dú)立的執(zhí)行環(huán)境：安全世界和非安全世界。

將單體式固件劃分為兩個(gè)獨(dú)立的固件：受保護(hù)（安全）應(yīng)用程序和用戶（非安全）應(yīng)用程序。

受保護(hù)的應(yīng)用程序不受用戶應(yīng)用程序異常的影響。

提供標(biāo)準(zhǔn)系統(tǒng)調(diào)用接口，允許用戶應(yīng)用程序通過這些接口發(fā)起內(nèi)核服務(wù)訪問請求。

保持與 ESP-IDF API 的一致性。

支持可配置的內(nèi)存訪問權(quán)限和外設(shè)訪問權(quán)限。

支持在受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序之間靈活分配內(nèi)存。

分割固件大小，加快OTA完成速度。

技術(shù)細(xì)節(jié)

1. 應(yīng)用程序的啟動過程

在 ESP 權(quán)限隔離框架下，應(yīng)用程序的啟動流程與 ESP-IDF 一致，即 Boot ROM（一級引導(dǎo)加載程序）首先進(jìn)行驗(yàn)證，并從 flash 中加載 ESP-IDF 二級引導(dǎo)加載程序。然后，二級引導(dǎo)加載程序進(jìn)行驗(yàn)證，并加載受保護(hù)的應(yīng)用程序。最后，受保護(hù)的應(yīng)用程序在 flash 中尋找有效的用戶應(yīng)用程序入口 (header)。如找到，則將設(shè)置適當(dāng)?shù)臋?quán)限，并嘗試驗(yàn)證并加載用戶應(yīng)用程序。

2. World 控制器和權(quán)限控制

ESP 特權(quán)隔離框架的主要目標(biāo)是實(shí)現(xiàn)特權(quán)分離和強(qiáng)制權(quán)限管理。在 ESP32-C3 中，這是通過 World 控制器和權(quán)限管理控制器實(shí)現(xiàn)的。具體來說，權(quán)限管理控制器管理所有權(quán)限，而 World 控制器管理執(zhí)行環(huán)境（世界），且每個(gè)世界中均有獨(dú)立的權(quán)限配置。目前，我們有兩個(gè)世界：World0 和 World1。

World0 是安全（受保護(hù)）環(huán)境，World1 是非安全（用戶）環(huán)境。

*World和權(quán)限管理

如上圖所示：

安全世界（World0）擁有對地址段 A 的全部訪問權(quán)限。

非安全世界（World1）僅擁有對地址段 A 的讀權(quán)限。

在這種權(quán)限配置下，如果非安全世界試圖向地址段 A 中的任何地址進(jìn)行寫操作，則將觸發(fā)非法訪問中斷。安全世界將處理這個(gè)非法訪問中斷，并采取適當(dāng)措施。

3. CPU 的世界切換

從安全世界切換到非安全世界：CPU 可以從安全世界切換到非安全世界，此時(shí)僅需將需要切換的地址配置至 World 控制器的地址寄存器，接著當(dāng) CPU 執(zhí)行至該地址時(shí)即可從安全世界切換到非安全世界，此后在非安全世界執(zhí)行應(yīng)用程序。

從非安全世界切換到安全世界：CPU 可以從非安全世界切換至安全世界，但只能通過中斷或異常，即系統(tǒng)中發(fā)生任何中斷都會導(dǎo)致 CPU 切換到安全世界。

4. 內(nèi)存布局

在強(qiáng)制執(zhí)行權(quán)限管理后，下一步是分割內(nèi)存。

內(nèi)部 SRAM：

下圖展示了如何劃分 SRAM，供受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序使用。SRAM 分為 IRAM 和 DRAM，可以根據(jù)應(yīng)用程序的使用情況進(jìn)行非常靈活的配置。

DRAM 區(qū)域包含對應(yīng)應(yīng)用程序的 .data 和 .bss 段，其余部分用作堆。在 ESP 特權(quán)隔離框架下，每個(gè)受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序均有一個(gè)專用的堆分配器。

這種 SRAM 內(nèi)存分布可以在受保護(hù)的應(yīng)用程序升級后，依然很好地使用內(nèi)存。此時(shí)，一旦受保護(hù)應(yīng)用程序使用的 IRAM 有所增加或減少，我們均可以重新配置 IRAM-DRAM 分割線，且并不用影響用戶內(nèi)存的劃分情況。

外部 flash：

下圖展示了如何在受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序之間分割 flash 虛擬內(nèi)存。與內(nèi)存分割一樣，flash MMU 地址段也分為 .rodata 和 .text 區(qū)域，可進(jìn)行靈活配置。

5. 系統(tǒng)訪問接口

受保護(hù)的應(yīng)用程序提供了一個(gè)標(biāo)準(zhǔn)的“系統(tǒng)調(diào)用”接口，用戶應(yīng)用程序可以通過該接口請求訪問內(nèi)核服務(wù)。這個(gè)過程會使用一個(gè)特殊的 CPU 指令生成一個(gè)同步異常，并通過這個(gè)異常將控制權(quán)移交給受保護(hù)的應(yīng)用程序。系統(tǒng)調(diào)用處理程序?qū)⒆屑?xì)檢查請求，并相應(yīng)地執(zhí)行操作。下圖概述了系統(tǒng)調(diào)用接口的實(shí)現(xiàn)過程：

*系統(tǒng)調(diào)用執(zhí)行過程

6. API 一致性

對于大多數(shù)組件，受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序均與 ESP-IDF API 保持一致。通過系統(tǒng)調(diào)用接口開放給用戶應(yīng)用程序的組件必須使用系統(tǒng)調(diào)用實(shí)現(xiàn)，而不是實(shí)際功能實(shí)現(xiàn)。我們利用鏈接器的特點(diǎn)，使用系統(tǒng)調(diào)用定義覆蓋 API 的定義。這種與 ESP-IDF API 的一致性可以確保：

輕松將 ESP-IDF 示例應(yīng)用程序（僅需少量修改）移植到此框架。

同一個(gè)程序可以構(gòu)建為受保護(hù)的應(yīng)用程序或用戶應(yīng)用程序。

7. 用戶空間異常處理

在完成權(quán)限配置和內(nèi)存分割后，可能會出現(xiàn)用戶應(yīng)用程序故意或無意嘗試訪問受保護(hù)禁區(qū)的情況。此時(shí)，權(quán)限控制器會觸發(fā)一個(gè)非法訪問中斷，由受保護(hù)的應(yīng)用程序處理。這種強(qiáng)制執(zhí)行權(quán)限管理的好處是，受保護(hù)的空間內(nèi)存和應(yīng)用程序不會受到用戶應(yīng)用程序任何（錯(cuò)誤）行為的影響。在 ESP 特權(quán)隔離框架中，我們允許受保護(hù)的應(yīng)用程序注冊專門的處理程序，以應(yīng)對用戶應(yīng)用程序中出現(xiàn)的任何異常。這個(gè)處理程序還可以收集一些重要信息，并相應(yīng)地處理異常。

8. 設(shè)備驅(qū)動程序

用戶應(yīng)用程序可能需要通過外圍設(shè)備（SPI、I2C 等）才能與外部設(shè)備和傳感器通信。在 ESP 特權(quán)隔離框架中，我們將設(shè)備驅(qū)動實(shí)現(xiàn)在受保護(hù)的應(yīng)用程序中，并通過標(biāo)準(zhǔn) I/O 系統(tǒng)調(diào)用（open, read, write 等）的方式，將其開放給用戶應(yīng)用程序。這樣一來，我們可以通過一組公共的系統(tǒng)調(diào)用接口，實(shí)現(xiàn)多個(gè)設(shè)備驅(qū)動程序。

此外，也可以向用戶應(yīng)用程序開放對外設(shè)寄存器的訪問權(quán)限，允許用戶應(yīng)用程序?qū)懽约旱尿?qū)動程序。

優(yōu)勢

ESP 特權(quán)隔離框架可以實(shí)現(xiàn)一些此前傳統(tǒng)單體式方法通常無法實(shí)現(xiàn)的用例和場景，以下為一些例子：

隔離系統(tǒng)和業(yè)務(wù)邏輯，從而分離維護(hù)軟件的責(zé)任劃分。

業(yè)務(wù)邏輯（用戶應(yīng)用程序）中的任何錯(cuò)誤都不會影響整個(gè)系統(tǒng)。用戶空間中的此類異常由受保護(hù)的應(yīng)用程序捕獲并進(jìn)行相應(yīng)處理，并且允許實(shí)時(shí)收集并傳輸診斷信息（如果需要）。

可以獨(dú)立管理受保護(hù)應(yīng)用程序和用戶應(yīng)用程序的 OTA（空中升級）更新。只要兩者的接口相互兼容，受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序可以有不同的發(fā)布節(jié)奏。

從認(rèn)證角度來說，僅需認(rèn)證一次受保護(hù)的應(yīng)用程序并進(jìn)行分發(fā)，之后的用戶應(yīng)用程序均可基于此已認(rèn)證的受保護(hù)應(yīng)用程序進(jìn)行構(gòu)建。

設(shè)備可同時(shí)保留多個(gè)用戶應(yīng)用程序，并使用同個(gè)受保護(hù)應(yīng)用程序進(jìn)行執(zhí)行。

傳統(tǒng)應(yīng)用程序與ESP特權(quán)分離程序的內(nèi)存使用對比（Rainmaker Demo）。

目前，該項(xiàng)目仍處于 beta 階段，但 ESP 特權(quán)隔離框架完全開源。

審核編輯 ：李倩