官方“空投” — ESP特權(quán)隔離機(jī)制來(lái)了！

一般情況下，微控制器上運(yùn)行的應(yīng)用程序采用的都是單體式系統(tǒng)，即“用戶-內(nèi)核”不隔離，這也是 SoC 和 MCU 在軟件架構(gòu)上的差異之一。

傳統(tǒng)上，任何基于樂(lè)鑫芯片和 ESP-IDF 開(kāi)發(fā)的應(yīng)用程序均為單體式固件，即“內(nèi)核”組件與“應(yīng)用程序”或“業(yè)務(wù)邏輯”之間不相互獨(dú)立。因此一旦應(yīng)用程序出錯(cuò)就將導(dǎo)致整個(gè)系統(tǒng)崩潰。

如今，在 ESP 特權(quán)隔離框架下，能夠創(chuàng)建兩個(gè)獨(dú)立的執(zhí)行環(huán)境：用戶應(yīng)用程序和內(nèi)核（或特權(quán)）應(yīng)用程序。

受保護(hù)的應(yīng)用程序不會(huì)受到用戶應(yīng)用程序異常的影響，極大地提高了安全性，用戶應(yīng)用程序的任何BUG都不會(huì)影響到整個(gè)系統(tǒng)。

ESP 特權(quán)隔離的亮點(diǎn)：

支持兩個(gè)獨(dú)立的執(zhí)行環(huán)境：安全世界和非安全世界。

將單體式固件劃分為兩個(gè)獨(dú)立的固件：受保護(hù)（安全）應(yīng)用程序和用戶（非安全）應(yīng)用程序。

受保護(hù)的應(yīng)用程序不受用戶應(yīng)用程序異常的影響。

提供標(biāo)準(zhǔn)系統(tǒng)調(diào)用接口，允許用戶應(yīng)用程序通過(guò)這些接口發(fā)起內(nèi)核服務(wù)訪問(wèn)請(qǐng)求。

保持與 ESP-IDF API 的一致性。

支持可配置的內(nèi)存訪問(wèn)權(quán)限和外設(shè)訪問(wèn)權(quán)限。

支持在受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序之間靈活分配內(nèi)存。

分割固件大小，加快OTA完成速度。

技術(shù)細(xì)節(jié)

1. 應(yīng)用程序的啟動(dòng)過(guò)程

在 ESP 權(quán)限隔離框架下，應(yīng)用程序的啟動(dòng)流程與 ESP-IDF 一致，即 Boot ROM（一級(jí)引導(dǎo)加載程序）首先進(jìn)行驗(yàn)證，并從 flash 中加載 ESP-IDF 二級(jí)引導(dǎo)加載程序。然后，二級(jí)引導(dǎo)加載程序進(jìn)行驗(yàn)證，并加載受保護(hù)的應(yīng)用程序。最后，受保護(hù)的應(yīng)用程序在 flash 中尋找有效的用戶應(yīng)用程序入口 (header)。如找到，則將設(shè)置適當(dāng)?shù)臋?quán)限，并嘗試驗(yàn)證并加載用戶應(yīng)用程序。

2. World 控制器和權(quán)限控制

ESP 特權(quán)隔離框架的主要目標(biāo)是實(shí)現(xiàn)特權(quán)分離和強(qiáng)制權(quán)限管理。在 ESP32-C3 中，這是通過(guò) World 控制器和權(quán)限管理控制器實(shí)現(xiàn)的。具體來(lái)說(shuō)，權(quán)限管理控制器管理所有權(quán)限，而 World 控制器管理執(zhí)行環(huán)境（世界），且每個(gè)世界中均有獨(dú)立的權(quán)限配置。目前，我們有兩個(gè)世界：World0 和 World1。

World0 是安全（受保護(hù)）環(huán)境，World1 是非安全（用戶）環(huán)境。

*World和權(quán)限管理

如上圖所示：

安全世界（World0）擁有對(duì)地址段 A 的全部訪問(wèn)權(quán)限。

非安全世界（World1）僅擁有對(duì)地址段 A 的讀權(quán)限。

在這種權(quán)限配置下，如果非安全世界試圖向地址段 A 中的任何地址進(jìn)行寫(xiě)操作，則將觸發(fā)非法訪問(wèn)中斷。安全世界將處理這個(gè)非法訪問(wèn)中斷，并采取適當(dāng)措施。

3. CPU 的世界切換

從安全世界切換到非安全世界：CPU 可以從安全世界切換到非安全世界，此時(shí)僅需將需要切換的地址配置至 World 控制器的地址寄存器，接著當(dāng) CPU 執(zhí)行至該地址時(shí)即可從安全世界切換到非安全世界，此后在非安全世界執(zhí)行應(yīng)用程序。

從非安全世界切換到安全世界：CPU 可以從非安全世界切換至安全世界，但只能通過(guò)中斷或異常，即系統(tǒng)中發(fā)生任何中斷都會(huì)導(dǎo)致 CPU 切換到安全世界。

4. 內(nèi)存布局

在強(qiáng)制執(zhí)行權(quán)限管理后，下一步是分割內(nèi)存。

內(nèi)部 SRAM：

下圖展示了如何劃分 SRAM，供受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序使用。SRAM 分為 IRAM 和 DRAM，可以根據(jù)應(yīng)用程序的使用情況進(jìn)行非常靈活的配置。

DRAM 區(qū)域包含對(duì)應(yīng)應(yīng)用程序的 .data 和 .bss 段，其余部分用作堆。在 ESP 特權(quán)隔離框架下，每個(gè)受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序均有一個(gè)專用的堆分配器。

這種 SRAM 內(nèi)存分布可以在受保護(hù)的應(yīng)用程序升級(jí)后，依然很好地使用內(nèi)存。此時(shí)，一旦受保護(hù)應(yīng)用程序使用的 IRAM 有所增加或減少，我們均可以重新配置 IRAM-DRAM 分割線，且并不用影響用戶內(nèi)存的劃分情況。

外部 flash：

下圖展示了如何在受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序之間分割 flash 虛擬內(nèi)存。與內(nèi)存分割一樣，flash MMU 地址段也分為 .rodata 和 .text 區(qū)域，可進(jìn)行靈活配置。

5. 系統(tǒng)訪問(wèn)接口

受保護(hù)的應(yīng)用程序提供了一個(gè)標(biāo)準(zhǔn)的“系統(tǒng)調(diào)用”接口，用戶應(yīng)用程序可以通過(guò)該接口請(qǐng)求訪問(wèn)內(nèi)核服務(wù)。這個(gè)過(guò)程會(huì)使用一個(gè)特殊的 CPU 指令生成一個(gè)同步異常，并通過(guò)這個(gè)異常將控制權(quán)移交給受保護(hù)的應(yīng)用程序。系統(tǒng)調(diào)用處理程序?qū)⒆屑?xì)檢查請(qǐng)求，并相應(yīng)地執(zhí)行操作。下圖概述了系統(tǒng)調(diào)用接口的實(shí)現(xiàn)過(guò)程：

*系統(tǒng)調(diào)用執(zhí)行過(guò)程

6. API 一致性

對(duì)于大多數(shù)組件，受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序均與 ESP-IDF API 保持一致。通過(guò)系統(tǒng)調(diào)用接口開(kāi)放給用戶應(yīng)用程序的組件必須使用系統(tǒng)調(diào)用實(shí)現(xiàn)，而不是實(shí)際功能實(shí)現(xiàn)。我們利用鏈接器的特點(diǎn)，使用系統(tǒng)調(diào)用定義覆蓋 API 的定義。這種與 ESP-IDF API 的一致性可以確保：

輕松將 ESP-IDF 示例應(yīng)用程序（僅需少量修改）移植到此框架。

同一個(gè)程序可以構(gòu)建為受保護(hù)的應(yīng)用程序或用戶應(yīng)用程序。

7. 用戶空間異常處理

在完成權(quán)限配置和內(nèi)存分割后，可能會(huì)出現(xiàn)用戶應(yīng)用程序故意或無(wú)意嘗試訪問(wèn)受保護(hù)禁區(qū)的情況。此時(shí)，權(quán)限控制器會(huì)觸發(fā)一個(gè)非法訪問(wèn)中斷，由受保護(hù)的應(yīng)用程序處理。這種強(qiáng)制執(zhí)行權(quán)限管理的好處是，受保護(hù)的空間內(nèi)存和應(yīng)用程序不會(huì)受到用戶應(yīng)用程序任何（錯(cuò)誤）行為的影響。在 ESP 特權(quán)隔離框架中，我們?cè)试S受保護(hù)的應(yīng)用程序注冊(cè)專門(mén)的處理程序，以應(yīng)對(duì)用戶應(yīng)用程序中出現(xiàn)的任何異常。這個(gè)處理程序還可以收集一些重要信息，并相應(yīng)地處理異常。

8. 設(shè)備驅(qū)動(dòng)程序

用戶應(yīng)用程序可能需要通過(guò)外圍設(shè)備（SPI、I2C 等）才能與外部設(shè)備和傳感器通信。在 ESP 特權(quán)隔離框架中，我們將設(shè)備驅(qū)動(dòng)實(shí)現(xiàn)在受保護(hù)的應(yīng)用程序中，并通過(guò)標(biāo)準(zhǔn) I/O 系統(tǒng)調(diào)用（open, read, write 等）的方式，將其開(kāi)放給用戶應(yīng)用程序。這樣一來(lái)，我們可以通過(guò)一組公共的系統(tǒng)調(diào)用接口，實(shí)現(xiàn)多個(gè)設(shè)備驅(qū)動(dòng)程序。

此外，也可以向用戶應(yīng)用程序開(kāi)放對(duì)外設(shè)寄存器的訪問(wèn)權(quán)限，允許用戶應(yīng)用程序?qū)懽约旱尿?qū)動(dòng)程序。

優(yōu)勢(shì)

ESP 特權(quán)隔離框架可以實(shí)現(xiàn)一些此前傳統(tǒng)單體式方法通常無(wú)法實(shí)現(xiàn)的用例和場(chǎng)景，以下為一些例子：

隔離系統(tǒng)和業(yè)務(wù)邏輯，從而分離維護(hù)軟件的責(zé)任劃分。

業(yè)務(wù)邏輯（用戶應(yīng)用程序）中的任何錯(cuò)誤都不會(huì)影響整個(gè)系統(tǒng)。用戶空間中的此類異常由受保護(hù)的應(yīng)用程序捕獲并進(jìn)行相應(yīng)處理，并且允許實(shí)時(shí)收集并傳輸診斷信息（如果需要）。

可以獨(dú)立管理受保護(hù)應(yīng)用程序和用戶應(yīng)用程序的 OTA（空中升級(jí)）更新。只要兩者的接口相互兼容，受保護(hù)的應(yīng)用程序和用戶應(yīng)用程序可以有不同的發(fā)布節(jié)奏。

從認(rèn)證角度來(lái)說(shuō)，僅需認(rèn)證一次受保護(hù)的應(yīng)用程序并進(jìn)行分發(fā)，之后的用戶應(yīng)用程序均可基于此已認(rèn)證的受保護(hù)應(yīng)用程序進(jìn)行構(gòu)建。

設(shè)備可同時(shí)保留多個(gè)用戶應(yīng)用程序，并使用同個(gè)受保護(hù)應(yīng)用程序進(jìn)行執(zhí)行。

傳統(tǒng)應(yīng)用程序與ESP特權(quán)分離程序的內(nèi)存使用對(duì)比（Rainmaker Demo）。