Cortex-M 3內核的μC/O S-II安全性與穩定性的研究

王申良,梅靜靜

(1.安徽理工大學電氣與信息工程學院,淮南232001;2.安徽理工大學計算機科學與工程學院)

引 言

μC/OS-II是基于優先級的可剝奪型內核,系統中的所有任務都有一個唯一的優先級別,它適合應用在實時性要求較強的場合;但是它不區分用戶空間和系統空間,使系統的安全性變差[1]。而移植到Cortex-M3內核上的μC/OS-II系統一般是運行在特權級下,以至于應用程序也可以訪問操作系統的變量和常量,這樣使得系統的安全性與穩定性變得更差。

1 開發壞境

采用IAR5.30作為開發環境,移植μC/OS-II2.86到Cortex-M 3內核,選用配置了MPU(Memory Protection Unit,存儲器保護單元)的LPC1786處理器作為硬件實驗平臺,對操作系統的安全性和穩定性進行改進與優化。

2 Cortex-M3內核簡介

在Co rtex-M 3內核中共有兩個堆棧指針:主堆棧指針(MSP),是系統上電后缺省的堆棧指針,它由OS內核、異常服務例程以及所有需要特權訪問的應用程序代碼來使用;進程堆棧指針(PSP),用于常規的應用程序代碼(不處于異常服務例程中時)。

Cortex-M 3處理器支持線程模式和處理模式兩種工作模式,有特權級與用戶級兩個訪問等級。異常處理總是工作在處理模式,只可使用主堆棧指針。處理模式總是在特權級下運行,而線程模式可在特權和用戶級下運行。系統復位時總是處于線程模式的特權方式下,并且默認使用的堆棧指針是MSP。在用戶級下,對特殊功能寄存器和系統控制空間(SCS)的大部分寄存器的訪問是禁止的[2]。

經實驗驗證,在用戶級下使用MSR、MRS指令訪問特殊功能寄存器(CONTROL等),這些指令被當作NOP指令(空指令)執行,而對系統控制空間(SCS)寄存器訪問會產生精確的總線訪問異常[3]。

另外,Cortex-M 3內核還可以選配MPU(如LPC1700系列、LM 3S系列處理器),用于對存儲器進行保護。設定一塊內存的訪問權限,對系統的安全性有很好的幫助。

3 μC/OS-II內核簡介

μC/OS-II是一個可移植、可固化、可裁剪的搶占式實時多任務內核。大部分用ANSIC語言編寫,只有一小部分與硬件相關的代碼用匯編語言編寫。至今,μC/OS-II已經在40多種不同架構的微內核處理器上移植成功[4]。μC/OS-II內核只提供了任務調度、任務管理、時間管理和任務間通信等基本功能,體系結構如圖1所示。進行系統移植時,只需要修改OS_CPU_C.C、OS_CPU.H、OS_CPU_A.ASM這3個文件即可。

圖1 μC/OS-II體系結構

4 μC/OS-II操作系統移植的改進

μC/OS-II官方網站提供的基于Cortex-M 3內核移植的μC/OS-II系統一直工作在特權級下。這樣做的好處是,系統不用頻繁地切換訪問等級,而且開關中斷很快,利于實時性的實現;但是應用程序(用戶任務)也可以訪問特殊功能寄存器和系統控制空間(SCS)寄存器,修改操作系統的變量,這對系統的安全性是一種威脅,如果用戶任務程序跑飛,那就有可能破壞系統寄存器和變量[5]。

4.1 系統寄存器的設置

用戶應用程序運行在用戶級,使用PSP堆棧指針;操作系統函數運行在特權級,使用的也是PSP堆棧指針;而中斷服務例程運行在處理模式的特權方式下,使用MSP堆棧指針。

首先利用MPU把內存分為特權級訪問和用戶級訪問兩個區,如圖2所示。在系統初始化時,設置MPU相關寄存器,為系統分配任務堆棧與主堆棧:任務堆棧分配在用戶區,系統變量與主堆棧分配在特權區,只可特權級下訪問。

圖2 特權與用戶級分區

4.2 系統函數的修改

用戶任務工作在用戶級下,操作系統函數工作在特權級下,任務可能會在執行系統函數時執行上下文切換,因此系統要記錄任務切換時是處在特權級還是用戶級下,以便任務再次獲得處理器控制權時,切換到原先的訪問等級下。在任務創建時,加入訪問權限參數mode。

權限的值定義為:

在創建任務函數與堆棧初始函數的參數中加入訪問權限參數,形式如下:

在堆棧初始化時,把mode最后存到堆棧當中,以便任務第一次運行時進入相應的工作模式(特權級或用戶級)。統計任務和空閑任務的mode是OS_M ode_PRIVILEGE,而用戶任務為OS_M ode_USER。

4.3 OS_CPU_A.ASM文件中函數的修改

在OS_CPU_A.ASM文件中,只需修改函數PendSV_Handler(PendSV服務例程),任務切換是由它來完成的。同時,設置PendSV的優先級為最低,以便快速響應中斷,提高系統的實時性。PendSV服務例程的流程如圖3所示。

圖3 PendSV服務例程流程

4.4 系統函數的使用

系統函數都是在特權級下執行的,在應用程序中調用系統函數前應該切換到特權級,系統函數執行完畢后再切換后用戶級。調用形式如下:

在特權級下可以通過置位CONTROL[0]來進入用戶級。用戶級下是不能通過修改CONTROL[0]來回到特權級的,必須通過一個異常handler來修改CONTROL[0],才能在返回到線程模式后取得特權級。因此,從用戶級到特權級的方法就是產生一個異常,再在異常例程中修改CONTROL[0][6]。通常的方法是使用軟中斷SVC。

切換到特權級的代碼如下:

而從特權到用戶級就簡單了,只要執行切換程序就可以了,不用產生異常。切換到用戶級的代碼為:

4.5 其他改進方法

任務在用戶級+PSP下運行,而操作系統函數運行在特權級+MPS運行,中斷服務例程有硬件設定在處理模式+特權級+MSP,這樣系統的安全性和穩定性會更高。但是每個任務需要兩個堆棧PSP、MSP。這樣無疑增加了內存的使用(將近增加一倍),由于嵌入式芯片的片內RAM比較小,增加內存必然會增加成本,并且要對任務控制塊做相應的修改,存儲兩個堆棧。任務創建時對這兩個堆棧都要初始化,任務切換時判斷切換的堆棧與訪問權限,這些都增加了系統的開銷。

結 語

在以Co rtex-M 3為內核的LPC1786處理器上,對修改后的操作系統進行簡單的測試。創建4個任務,每個任務只是簡單地控制一個LED燈的開關。系統連續穩定地運行10個小時以上沒出現任何問題,可見系統移植成功。

利用Cortex-M 3內核選配的MPU,對μC/OS-II操作系統進行修改,只是增加了很小的系統開銷,卻使系統的安全性和穩定性得到了很大的提高。該方法可應用于對系統安全性與穩定性要求比較高的場合。

[1]仁哲,潘樹林,房紅征.嵌入式操作系統基礎μC/OS-II和Linux[M].北京航空航天大學出版社,2006.

[2]意法半導體公司.103xCDE數據手冊[OL].(2009-03)[2010-07].http://www.st.com/.

[3]ARM公司.Cortex-M 3技術參考手冊[OL].[2010-07].http://www.arm.com/.

[4]Jean J.Labrosse.μC/OS-II源碼公開的實時嵌入式操作系統[M].邵貝貝,譯.2版.北京航空航天大學出版社,2003.

[5]μC/OS-II在Cortex-M 3內核上的移植模板[OL].[2010-07].http://micrium.com/.

[6]Joseph Yiu.ARM Cortex-M 3權威指南[M].宋巖,譯.北京航空航天大學出版社,2009.