引言
μC/OSII是基于優先級的可剝奪型內核,系統中的所有任務都有一個唯一的優先級別,它適合應用在實時性要求較強的場合;但是它不區分用戶空間和系統空間,使系統的安全性變差。而移植到CortexM3內核上的μC/OSII系統一般是運行在特權級下,以至于應用程序也可以訪問操作系統的變量和常量,這樣使得系統的安全性與穩定性變得更差。
1 開發壞境
采用IAR5.30作為開發環境,移植μC/OSII2.86到CortexM3內核,選用配置了MPU(Memory Protection Unit,存儲器保護單元)的LPC1786處理器作為硬件實驗平臺,對操作系統的安全性和穩定性進行改進與優化。
2 CortexM3內核簡介
在CortexM3內核*有兩個堆棧指針:主堆棧指針(MSP),是系統上電后缺省的堆棧指針,它由OS內核、異常服務例程以及所有需要特權訪問的應用程序代碼來使用;進程堆棧指針(PSP),用于常規的應用程序代碼(不處于異常服務例程中時)。
CortexM3處理器支持線程模式和處理模式兩種工作模式,有特權級與用戶級兩個訪問等級。異常處理總是工作在處理模式,只可使用主堆棧指針。處理模式總是在特權級下運行,而線程模式可在特權和用戶級下運行。系統復位時總是處于線程模式的特權方式下,并且默認使用的堆棧指針是MSP。在用戶級下,對特殊功能寄存器和系統控制空間(SCS)的大部分寄存器的訪問是禁止的[2]。
經實驗驗證,在用戶級下使用MSR、MRS指令訪問特殊功能寄存器(CONTROL等),這些指令被當作NOP指令(空指令)執行,而對系統控制空間(SCS)寄存器訪問會產生精確的總線訪問異常。
另外,CortexM3內核還可以選配MPU(如LPC1700系列、LM3S系列處理器),用于對存儲器進行保護。設定一塊內存的訪問權限,對系統的安全性有很好的幫助。
3 μC/OSII內核簡介
μC/OSII是一個可移植、可固化、可裁剪的搶占式實時多任務內核。大部分用ANSI C語言編寫,只有一小部分與硬件相關的代碼用匯編語言編寫。至今,μC/OSII已經在40多種不同架構的微內核處理器上移植成功[4]。μC/OSII內核只提供了任務調度、任務管理、時間管理和任務間通信等基本功能,體系結構如圖1所示。進行系統移植時,只需要修改OS_CPU_C.C、OS_CPU.H、OS_CPU_A.ASM這3個文件即可。
μC/OSII體系結構" border="0" height="212" src="http://files.chinaaet.com/images/20110104/1c52a9c8-a9fa-4e2c-b8b6-3aac0c14e5b6.jpg" width="275" />
圖1 μC/OSII體系結構
4 μC/OSII操作系統移植的改進
μC/OSII*****提供的基于CortexM3內核移植的μC/OSII系統一直工作在特權級下。這樣做的好處是,系統不用頻繁地切換訪問等級,而且開關中斷很快,利于實時性的實現;但是應用程序(用戶任務)也可以訪問特殊功能寄存器和系統控制空間(SCS)寄存器,修改操作系統的變量,這對系統的安全性是一種威脅,如果用戶任務程序跑飛,那就有可能破壞系統寄存器和變量[5]。
4.1 系統寄存器的設置
用戶應用程序運行在用戶級,使用PSP堆棧指針;操作系統函數運行在特權級,使用的也是PSP堆棧指針;而中斷服務例程運行在處理模式的特權方式下,使用MSP堆棧指針。
圖2 特權與用戶級分區
首先利用MPU把內存分為特權級訪問和用戶級訪問兩個區,如圖2所示。在系統初始化時,設置MPU相關寄存器,為系統分配任務堆棧與主堆棧:任務堆棧分配在用戶區,系統變量與主堆棧分配在特權區,只可特權級下訪問。
4.2 系統函數的修改
用戶任務工作在用戶級下,操作系統函數工作在特權級下,任務可能會在執行系統函數時執行上下文切換,因此系統要記錄任務切換時是處在特權級還是用戶級下,以便任務再次獲得處理器控制權時,切換到原先的訪問等級下。在任務創建時,加入訪問權限參數mode。
權限的值定義為:
#define OS_Mode_USER 1u //用戶級
#define OS_Mode_PRIVILEGE 0u //特權級
在創建任務函數與堆棧初始函數的參數中加入訪問權限參數,形式如下:
INT8U OSTaskCreateExt (……,INT8U mode );
OS_STK *OSTaskStkInit (……,INT8U mode);
在堆棧初始化時,把mode最后存到堆棧當中,以便任務第一次運行時進入相應的工作模式(特權級或用戶級)。統計任務和空閑任務的mode是OS_Mode_PRIVILEGE,而用戶任務為OS_Mode_USER。
4.3 OS_CPU_A.ASM文件中函數的修改
在OS_CPU_A.ASM文件中,只需修改函數PendSV_Handler(PendSV服務例程),任務切換是由它來完成的。同時,設置PendSV的優先級為最低,以便快速響應中斷,提高系統的實時性。PendSV服務例程的流程如圖3所示。
圖3 PendSV服務例程流程
任務切換上文的程序:
SUBS R0,R0,#0x24;調整PSP指針,mode、R4~R11共36字節
MRS R1,CONTROL;獲取當前任務的訪問等級mode
STM R0,{R1,R4R11};壓棧mode,R4~R11
LDR R1,=OSTCBCur;獲取OSTCBCur﹥OSTCBStkPtr
LDR R1,[R1]
STR R0,[R1];存儲PSP值到任務控制塊切換下文的程序:
……;OSPrioCur=OSPrioHighRdy;
……;OSTCBCur=OSTCBHighRdy;
……;得到新任務的PSP值,存儲到R0中
LDM R0,{R1,R4R11};R1(mode),R4~R11出棧
MSR CONTROL,R1;修改CONTROL[0]
ORR LR,LR,#0x04;選擇返回時使用的堆棧
ADDS R0,R0,#0x24;調整PSP值
MSR PSP,R0;R0存入PSP中
4.4 系統函數的使用
系統函數都是在特權級下執行的,在應用程序中調用系統函數前應該切換到特權級,系統函數執行完畢后再切換后用戶級。調用形式如下:
ToPrivilege ();
OSFunction(Parameter1, Parameter2……);//系統函數
ToUser ();
在特權級下可以通過置位CONTROL[0]來進入用戶級。用戶級下是不能通過修改CONTROL[0]來回到特權級的,必須通過一個異常handler來修改CONTROL[0],才能在返回到線程模式后取得特權級。因此,從用戶級到特權級的方法就是產生一個異常,再在異常例程中修改CONTROL[0]。通常的方法是使用軟中斷SVC。
切換到特權級的代碼如下:
ToPrivilege;函數ToPrivilege ()
SVC 0
BX LR
SVC_Handler;SVC服務例程
MRS R1,CONTROL
AND R1,R1,#0xFE
MSR CONTROL,R1;回到特權級
BX LR
而從特權到用戶級就簡單了,只要執行切換程序就可以了,不用產生異常。切換到用戶級的代碼為:
ToUser;函數ToPrivilege ()
MRS R0,CONTROL
ORR R0,R0,#0x01;切換到用戶級
MSR CONTROL,R0
BX LR
4.5 其他改進方法
任務在用戶級+PSP下運行,而操作系統函數運行在特權級+MPS運行,中斷服務例程有硬件設定在處理模式+特權級+MSP,這樣系統的安全性和穩定性會更高。但是每個任務需要兩個堆棧PSP、MSP。這樣無疑增加了內存的使用(將近增加一倍),由于嵌入式芯片的片內RAM比較小,增加內存必然會增加成本,并且要對任務控制塊做相應的修改,存儲兩個堆棧。任務創建時對這兩個堆棧都要初始化,任務切換時判斷切換的堆棧與訪問權限,這些都增加了系統的開銷。
結語
在以CortexM3為內核的LPC1786處理器上,對修改后的操作系統進行簡單的測試。創建4個任務,每個任務只是簡單地控制一個LED燈的開關。系統連續穩定地運行10個小時以上沒出現任何問題,可見系統移植成功。利用CortexM3內核選配的MPU,對μC/OSII操作系統進行修改,只是增加了很小的系統開銷,卻使系統的安全性和穩定性得到了很大的提高。該方法可應用于對系統安全性與穩定性要求比較高的場合。