CortexM3內(nèi)核的μC/OSII安全性與穩(wěn)定性的研究

摘要: 根據(jù)CortexM3內(nèi)核的特點(diǎn)，對(duì)μC/OSII操作系統(tǒng)的安全性和穩(wěn)定性進(jìn)行研究。利用CortexM3內(nèi)核上選配的MPU（Memory ProtectiON Unit，存儲(chǔ)器保護(hù)單元)，對(duì)μC/OSII操作系統(tǒng)做適當(dāng)?shù)母倪M(jìn)與優(yōu)化。經(jīng)測(cè)試，系統(tǒng)的安全性與穩(wěn)定性得到很大的提高。

引言

μC/OSII是基于優(yōu)先級(jí)的可剝奪型內(nèi)核，系統(tǒng)中的所有任務(wù)都有一個(gè)唯一的優(yōu)先級(jí)別，它適合應(yīng)用在實(shí)時(shí)性要求較強(qiáng)的場(chǎng)合；但是它不區(qū)分用戶空間和系統(tǒng)空間，使系統(tǒng)的安全性變差。而移植到CortexM3內(nèi)核上的μC/OSII系統(tǒng)一般是運(yùn)行在特權(quán)級(jí)下，以至于應(yīng)用程序也可以訪問(wèn)操作系統(tǒng)的變量和常量，這樣使得系統(tǒng)的安全性與穩(wěn)定性變得更差。

1  開(kāi)發(fā)壞境

采用IAR5.30作為開(kāi)發(fā)環(huán)境，移植μC/OSII2.86到CortexM3內(nèi)核，選用配置了MPU（Memory Protection Unit，存儲(chǔ)器保護(hù)單元)的LPC1786處理器作為硬件實(shí)驗(yàn)平臺(tái)，對(duì)操作系統(tǒng)的安全性和穩(wěn)定性進(jìn)行改進(jìn)與優(yōu)化。

2  CortexM3內(nèi)核簡(jiǎn)介

在CortexM3內(nèi)核*有兩個(gè)堆棧指針：主堆棧指針（MSP），是系統(tǒng)上電后缺省的堆棧指針，它由OS內(nèi)核、異常服務(wù)例程以及所有需要特權(quán)訪問(wèn)的應(yīng)用程序代碼來(lái)使用；進(jìn)程堆棧指針（PSP），用于常規(guī)的應(yīng)用程序代碼（不處于異常服務(wù)例程中時(shí)）。

CortexM3處理器支持線程模式和處理模式兩種工作模式，有特權(quán)級(jí)與用戶級(jí)兩個(gè)訪問(wèn)等級(jí)。異常處理總是工作在處理模式，只可使用主堆棧指針。處理模式總是在特權(quán)級(jí)下運(yùn)行，而線程模式可在特權(quán)和用戶級(jí)下運(yùn)行。系統(tǒng)復(fù)位時(shí)總是處于線程模式的特權(quán)方式下，并且默認(rèn)使用的堆棧指針是MSP。在用戶級(jí)下，對(duì)特殊功能寄存器和系統(tǒng)控制空間（SCS）的大部分寄存器的訪問(wèn)是禁止的[2]。

經(jīng)實(shí)驗(yàn)驗(yàn)證，在用戶級(jí)下使用MSR、MRS指令訪問(wèn)特殊功能寄存器（CONTROL等），這些指令被當(dāng)作NOP指令（空指令）執(zhí)行，而對(duì)系統(tǒng)控制空間（SCS）寄存器訪問(wèn)會(huì)產(chǎn)生精確的總線訪問(wèn)異常。

另外，CortexM3內(nèi)核還可以選配MPU（如LPC1700系列、LM3S系列處理器），用于對(duì)存儲(chǔ)器進(jìn)行保護(hù)。設(shè)定一塊內(nèi)存的訪問(wèn)權(quán)限，對(duì)系統(tǒng)的安全性有很好的幫助。

3  μC/OSII內(nèi)核簡(jiǎn)介

μC/OSII是一個(gè)可移植、可固化、可裁剪的搶占式實(shí)時(shí)多任務(wù)內(nèi)核。大部分用ANSI C語(yǔ)言編寫，只有一小部分與硬件相關(guān)的代碼用匯編語(yǔ)言編寫。至今，μC/OSII已經(jīng)在40多種不同架構(gòu)的微內(nèi)核處理器上移植成功[4]。μC/OSII 內(nèi)核只提供了任務(wù)調(diào)度、任務(wù)管理、時(shí)間管理和任務(wù)間通信等基本功能，體系結(jié)構(gòu)如圖1所示。進(jìn)行系統(tǒng)移植時(shí)，只需要修改OS_CPU_C.C、OS_CPU.H、OS_CPU_A.ASM這3個(gè)文件即可。

μC/OSII體系結(jié)構(gòu)

圖1  μC/OSII體系結(jié)構(gòu)

4  μC/OSII操作系統(tǒng)移植的改進(jìn)

μC/OSII*****提供的基于CortexM3內(nèi)核移植的μC/OSII系統(tǒng)一直工作在特權(quán)級(jí)下。這樣做的好處是，系統(tǒng)不用頻繁地切換訪問(wèn)等級(jí)，而且開(kāi)關(guān)中斷很快，利于實(shí)時(shí)性的實(shí)現(xiàn)；但是應(yīng)用程序（用戶任務(wù)）也可以訪問(wèn)特殊功能寄存器和系統(tǒng)控制空間（SCS）寄存器，修改操作系統(tǒng)的變量，這對(duì)系統(tǒng)的安全性是一種威脅，如果用戶任務(wù)程序跑飛，那就有可能破壞系統(tǒng)寄存器和變量[5]。

4.1  系統(tǒng)寄存器的設(shè)置

用戶應(yīng)用程序運(yùn)行在用戶級(jí),使用PSP堆棧指針；操作系統(tǒng)函數(shù)運(yùn)行在特權(quán)級(jí)，使用的也是PSP堆棧指針；而中斷服務(wù)例程運(yùn)行在處理模式的特權(quán)方式下，使用MSP堆棧指針。

特權(quán)與用戶級(jí)分區(qū)

圖2  特權(quán)與用戶級(jí)分區(qū)

首先利用MPU把內(nèi)存分為特權(quán)級(jí)訪問(wèn)和用戶級(jí)訪問(wèn)兩個(gè)區(qū)，如圖2所示。在系統(tǒng)初始化時(shí)，設(shè)置MPU相關(guān)寄存器，為系統(tǒng)分配任務(wù)堆棧與主堆棧：任務(wù)堆棧分配在用戶區(qū)，系統(tǒng)變量與主堆棧分配在特權(quán)區(qū)，只可特權(quán)級(jí)下訪問(wèn)。

4.2  系統(tǒng)函數(shù)的修改

用戶任務(wù)工作在用戶級(jí)下，操作系統(tǒng)函數(shù)工作在特權(quán)級(jí)下，任務(wù)可能會(huì)在執(zhí)行系統(tǒng)函數(shù)時(shí)執(zhí)行上下文切換，因此系統(tǒng)要記錄任務(wù)切換時(shí)是處在特權(quán)級(jí)還是用戶級(jí)下，以便任務(wù)再次獲得處理器控制權(quán)時(shí)，切換到原先的訪問(wèn)等級(jí)下。在任務(wù)創(chuàng)建時(shí)，加入訪問(wèn)權(quán)限參數(shù)mode。

權(quán)限的值定義為：

#define OS_Mode_USER 1u //用戶級(jí)

#define OS_Mode_PRIVILEGE 0u //特權(quán)級(jí)

在創(chuàng)建任務(wù)函數(shù)與堆棧初始函數(shù)的參數(shù)中加入訪問(wèn)權(quán)限參數(shù)，形式如下：

INT8U OSTaskCreateExt (……,INT8U mode );

OS_STK *OSTaskStkInit (……,INT8U mode);

在堆棧初始化時(shí)，把mode最后存到堆棧當(dāng)中，以便任務(wù)第一次運(yùn)行時(shí)進(jìn)入相應(yīng)的工作模式（特權(quán)級(jí)或用戶級(jí)）。統(tǒng)計(jì)任務(wù)和空閑任務(wù)的mode是OS_Mode_PRIVILEGE，而用戶任務(wù)為OS_Mode_USER。

4.3  OS_CPU_A.ASM文件中函數(shù)的修改

在OS_CPU_A.ASM文件中，只需修改函數(shù)PendSV_Handler（PendSV服務(wù)例程），任務(wù)切換是由它來(lái)完成的。同時(shí)，設(shè)置PendSV的優(yōu)先級(jí)為最低，以便快速響應(yīng)中斷，提高系統(tǒng)的實(shí)時(shí)性。PendSV服務(wù)例程的流程如圖3所示。

PendSV服務(wù)例程流程

圖3  PendSV服務(wù)例程流程

任務(wù)切換上文的程序：

SUBS R0,R0,#0x24;調(diào)整PSP指針，mode、R4~R11共36字節(jié)

MRS R1,CONTROL;獲取當(dāng)前任務(wù)的訪問(wèn)等級(jí)mode

STM R0,{R1,R4R11};壓棧mode，R4~R11

LDR R1,=OSTCBCur;獲取OSTCBCur?﹥OSTCBStkPtr

LDR R1,[R1]

STR R0,[R1];存儲(chǔ)PSP值到任務(wù)控制塊切換下文的程序：

……;OSPrioCur=OSPrioHighRdy;

……;OSTCBCur=OSTCBHighRdy;

……;得到新任務(wù)的PSP值，存儲(chǔ)到R0中

LDM R0,{R1,R4R11};R1(mode),R4~R11出棧

MSR CONTROL,R1;修改CONTROL[0]

ORR LR,LR,#0x04;選擇返回時(shí)使用的堆棧

ADDS R0,R0,#0x24;調(diào)整PSP值

MSR PSP,R0;R0存入PSP中

4.4  系統(tǒng)函數(shù)的使用

系統(tǒng)函數(shù)都是在特權(quán)級(jí)下執(zhí)行的，在應(yīng)用程序中調(diào)用系統(tǒng)函數(shù)前應(yīng)該切換到特權(quán)級(jí)，系統(tǒng)函數(shù)執(zhí)行完畢后再切換后用戶級(jí)。調(diào)用形式如下：

ToPrivilege ();

OSFunction(Parameter1, Parameter2……)；//系統(tǒng)函數(shù)

ToUser ();

在特權(quán)級(jí)下可以通過(guò)置位CONTROL[0]來(lái)進(jìn)入用戶級(jí)。用戶級(jí)下是不能通過(guò)修改CONTROL[0]來(lái)回到特權(quán)級(jí)的，必須通過(guò)一個(gè)異常 handler來(lái)修改CONTROL[0]，才能在返回到線程模式后取得特權(quán)級(jí)。因此，從用戶級(jí)到特權(quán)級(jí)的方法就是產(chǎn)生一個(gè)異常，再在異常例程中修改 CONTROL[0]。通常的方法是使用軟中斷SVC。

切換到特權(quán)級(jí)的代碼如下：

ToPrivilege;函數(shù)ToPrivilege ()

SVC 0

BX LR

SVC_Handler;SVC服務(wù)例程

MRS R1,CONTROL

AND R1,R1,#0xFE

MSR CONTROL,R1;回到特權(quán)級(jí)

BX LR

而從特權(quán)到用戶級(jí)就簡(jiǎn)單了，只要執(zhí)行切換程序就可以了，不用產(chǎn)生異常。切換到用戶級(jí)的代碼為：

ToUser;函數(shù)ToPrivilege ()

MRS R0,CONTROL

ORR R0,R0,#0x01;切換到用戶級(jí)

MSR CONTROL,R0

BX LR

4.5  其他改進(jìn)方法

任務(wù)在用戶級(jí)+PSP下運(yùn)行，而操作系統(tǒng)函數(shù)運(yùn)行在特權(quán)級(jí)+MPS運(yùn)行，中斷服務(wù)例程有硬件設(shè)定在處理模式+特權(quán)級(jí)+MSP，這樣系統(tǒng)的安全性和穩(wěn)定性會(huì)更高。但是每個(gè)任務(wù)需要兩個(gè)堆棧PSP、MSP。這樣無(wú)疑增加了內(nèi)存的使用（將近增加一倍），由于嵌入式芯片的片內(nèi)RAM比較小，增加內(nèi)存必然會(huì)增加成本，并且要對(duì)任務(wù)控制塊做相應(yīng)的修改，存儲(chǔ)兩個(gè)堆棧。任務(wù)創(chuàng)建時(shí)對(duì)這兩個(gè)堆棧都要初始化，任務(wù)切換時(shí)判斷切換的堆棧與訪問(wèn)權(quán)限，這些都增加了系統(tǒng)的開(kāi)銷。

結(jié)語(yǔ)

在以CortexM3為內(nèi)核的LPC1786處理器上，對(duì)修改后的操作系統(tǒng)進(jìn)行簡(jiǎn)單的測(cè)試。創(chuàng)建4個(gè)任務(wù)，每個(gè)任務(wù)只是簡(jiǎn)單地控制一個(gè)LED燈的開(kāi)關(guān)。系統(tǒng)連續(xù)穩(wěn)定地運(yùn)行10個(gè)小時(shí)以上沒(méi)出現(xiàn)任何問(wèn)題，可見(jiàn)系統(tǒng)移植成功。利用CortexM3內(nèi)核選配的MPU，對(duì)μC/OSII操作系統(tǒng)進(jìn)行修改，只是增加了很小的系統(tǒng)開(kāi)銷，卻使系統(tǒng)的安全性和穩(wěn)定性得到了很大的提高。該方法可應(yīng)用于對(duì)系統(tǒng)安全性與穩(wěn)定性要求比較高的場(chǎng)合。