通常,微控制器 (MCU) 上运行的应用程序均采用单体式系统 (Monolithic system),即其“用户-内核”是不隔离的。为改变这种情况,我们一直尝试为 MCU 增加权限管理特性(如通用操作系统)。
这个目标并不容易,我们需要保证对系统的改变不会影响终端应用程序的开发,比如电脑和手机上的应用程序开发与硬件系统就是相互独立的:即底层操作系统负责完成关键任务,而终端应用程序仅使用操作系统开放的接口。
我们围绕这个目标开展了大量工作:首先在 ESP32 上进行了概念验证,但后来意识到这种纯软件层面的隔离存在一定局限,离不开强大的硬件支持。我们只有在硬件级别强制执行权限管理,才能更好地实现用户应用程序和内核应用程序之间的隔离。在此基础上,我们开始在 ESP32-C3 中设计自己的专用外围设备(详见下文)。现在,经过一系列头脑风暴和大量的开发工作,我们终于可以与您分享这个激动人心的消息,即 ESP 特权隔离机制的发布!
传统上,任何基于乐鑫芯片和 ESP-IDF 开发的应用程序均为单体式固件,即其“内核”组件(操作系统、网络传输等)与“应用程序”或“业务逻辑”之间并不相互独立。如今,在 ESP 特权隔离框架之下,我们成功将固件划分为两个独立的 bin 文件:受保护的“内核”和用户“应用程序”。
在 ESP 权限隔离框架下,应用程序的启动流程与 ESP-IDF 一致,即Boot ROM(一级引导加载程序)首先进行验证,并从 flash 中加载 ESP-IDF 二级引导加载程序。然后,二级引导加载程序进行验证,并加载受保护的应用程序。最后,受保护的应用程序在 flash 中寻找有效的用户应用程序入口 (header)。如找到,则将设置适当的权限,并尝试验证并加载用户应用程序。
ESP 特权隔离框架的主要目标是实现特权分离和强制权限管理。在 ESP32-C3 中,这是通过 World 控制器和权限管理控制器实现的。具体来说,权限管理控制器管理所有权限,而 World 控制器管理执行环境(世界),且每个世界中均有独立的权限配置。目前,我们有两个世界:World0 和 World1。
World0 是安全(受保护)环境,World1 是非安全(用户)环境。
World 和权限管理
如上图所示:
在这种权限配置下,如果非安全世界试图向地址段 A 中的任何地址进行写操作,则将触发非法访问中断。安全世界将处理这个非法访问中断,并采取适当措施。
在强制执行权限管理后,下一步是分割内存。
内部 SRAM:
下图展示了如何划分 SRAM,供受保护的应用程序和用户应用程序使用。SRAM 分为 IRAM 和 DRAM,可以根据应用程序的使用情况进行非常灵活的配置。
DRAM 区域包含对应应用程序的 .data 和 .bss 段,其余部分用作堆。在 ESP 特权隔离框架下,每个受保护的应用程序和用户应用程序均有一个专用的堆分配器。
这种 SRAM 内存分布可以在受保护的应用程序升级后,依然很好地使用内存。此时,一旦受保护应用程序使用的 IRAM 有所增加或减少,我们均可以重新配置 IRAM-DRAM 分割线,且并不用影响用户内存的划分情况。
外部 flash:
下图展示了如何在受保护的应用程序和用户应用程序之间分割 flash 虚拟内存。与内存分割一样,flash MMU 地址段也分为 .rodata 和 .text 区域,可进行灵活配置。
受保护的应用程序提供了一个标准的“系统调用”接口,用户应用程序可以通过该接口请求访问内核服务。这个过程会使用一个特殊的 CPU 指令生成一个同步异常,并通过这个异常将控制权移交给受保护的应用程序。系统调用处理程序将仔细检查请求,并相应地执行操作。下图概述了系统调用接口的实现过程:
系统调用执行过程
对于大多数组件,受保护的应用程序和用户应用程序均与 ESP-IDF API 保持一致。通过系统调用接口开放给用户应用程序的组件必须使用系统调用实现,而不是实际功能实现。我们利用链接器的特点,使用系统调用定义覆盖 API 的定义。这种与 ESP-IDF API 的一致性可以确保:
在完成权限配置和内存分割后,可能会出现用户应用程序故意或无意尝试访问受保护禁区的情况。此时,权限控制器会触发一个非法访问中断,由受保护的应用程序处理。这种强制执行权限管理的好处是,受保护的空间内存和应用程序不会受到用户应用程序任何(错误)行为的影响。在 ESP 特权隔离框架中,我们允许受保护的应用程序注册专门的处理程序,以应对用户应用程序中出现的任何异常。这个处理程序还可以收集一些重要信息,并相应地处理异常。
用户应用程序可能需要通过外围设备(SPI、I2C 等)才能与外部设备和传感器通信。在 ESP 特权隔离框架中,我们将设备驱动实现在受保护的应用程序中,并通过标准 I/O 系统调用(open, read, write 等)的方式,将其开放给用户应用程序。这样一来,我们可以通过一组公共的系统调用接口,实现多个设备驱动程序。
此外,也可以向用户应用程序开放对外设寄存器的访问权限,允许用户应用程序写自己的驱动程序。
ESP 特权隔离框架可以实现一些此前传统单体式方法通常无法实现的用例和场景,以下为一些例子:
目前,该项目仍处于 beta 阶段,相关研发也正在积极进行中,我们同时也在解决一些限制和瓶颈。如遇到任何问题或 bug,请与我们联系。如遇到任何问题或有任何反馈,请在 GitHub 上提出 issue。我们也欢迎开发者积极提交 PR,帮助我们不断完善这一框架。
ESP 特权隔离框架是完全开源的,可在 ESP 权限隔离仓库获得。更多相关技术文档和演练,请访问这里。
我们希望这种创新应用程序开发方式可以助您打开新的思路,也热切盼望您的反馈。