15.4  存储保护单元MPU

一些嵌入式系统使用多任务的操作和控制。这些系统必须提供一种机制来保证正在运行的任务不破坏其他任务的操作。即要防止系统资源和其他一些任务不受非法访问。要达到这一目的通常有软件保护和硬件保护两种途径。这里软件保护是指仅靠软件来保护系统资源。系统中无保护硬件或硬件没启动。在多任务的系统中,通常要运行操作系统来达到任务间同步与通信。所以,这种软件的资源保护通常由操作系统来完成。但这种通过软件来协调任务运行,保护系统资源的做法有时会出现一些不可避免的问题。如当对一个通信用串口寄存器进行操作时,如果一个任务正在使用串口,则它没有办法来防止其他任务使用同一个串口。因此,若要成功使用该串口,则必须通过一个访问该串口的系统调用来协调。使用这些调用任务的非授权访问,很容易破坏经过该串口的通信。因此资源的不合理使用也许是不可避免的。

 

相反,受保护系统有专门的硬件来检测和限制系统资源的访问。它能保证资源的所有权,任务需要遵守一组由操作环境定义的、由硬件维护的规则,在硬件级上授予监视和控制资源程序的特殊权限。受保护系统主动防止一个任务使用其他任务的资源。因此使用硬件主动监视系统比协调加强的软件历程,提供了更好的保护。

 

ARM中配备的有效保护系统资源的硬件,有两种:

·  MPU(Memory Protection Unit);

·  MMU(Memory Management Unit)。

 

MMU是比MPU提供了功能更强大的内存保护机制,MPU只提供了内存区域保护,而MMU是在此基础上提供了虚拟地址映射技术,而且在操作上,MMU要比MPU负责。本节主要讨论带MPU的处理器内核,MMU将在下一节详细介绍。

 

15.4.1  保护域(Protection Regions)

ARM处理器中的MPU使用“域(regions)”来对内存单元进行管理。域是与存储空间相关联的属性,处理器核将这些数据保存在协处理器CP15的一些寄存器中。通常域的个数为8个,编号为从0~7。

 

域的大小和起始地址保存在CP15的寄存器c6中。大小可以是4KB~4GB的任何2的乘幂。域的起始地址必须是其大小的倍数。比如,一个定义为4KB的域其起始地址可以是0x12345000,而一个大小定义为8KB的域起始地址只能是0x2000的倍数。

 

另外,操作系统可以为这些域分配更多的属性:访问权限、cache和写缓存。存储器基于当时的处理器模式(管理模式或用户模式)可以设定这些区域的访问权限为读/写、只读和不可访问。

 

当处理器访问主存的一个域时,MPU比较该域的访问权限属性和当时的处理器模式。如果请求符合域的访问标准,则MPU允许内核读/写主存;如果存储器请求不符号域的访问标准,将产生一个异常信号。

 

异常信号被送到处理器核。处理器核执行一个异常向量,然后跳转到异常处理程序,异常处理程序判断异常类型为预取指或数据中止,然后根据异常类型,跳转到相应的服务例程。

 

对于ARM处理器,存储空间的某一部分可以被分配给一个以上的区域。也就是说域可以重叠。在重叠的域内,可以设置域的优先级。在分配访问权限时重叠域比非重叠域有更大的灵活性。后面一节将会详细介绍域的重叠。

 

15.4.2  内存访问顺序

当ARM处理器产生一个内存访问信号时,内存保护单位MPU将负责检查要访问的地址是否在被定义的域中。

 

① 如果地址不在任何域中,存储器产生异常。如果内核预取指令则MPU产生预取中止异常;如果是存储器数据请求,则产生数据中止异常。

 

② 如果地址在多个域内,由MPU判断域的有效级来决定存储区域的访问属性。访问属性可以在CP15的寄存器中设定,可设定的位为C(Cache)、B(Buffer)、AP(Access Permission)。这些属性的具体定义为:

·  C和B可以控制Cache和写缓存属性的Cache策略。例如,可以设置一个域使用回写(write-back)策略访问存储器,而另一个域则以无Cache和无写缓存方式访问;

·  AP(access permission)决定域是否可以被访问。如果在当前处理器模式下,该域不能被访问,MPU将产生一个存储器访问异常。

 

图15.16显示了一个存储器访问过程。

图15.16  存储器访问过程

 

15.4.3  使能MPU

通过对协处理器CP15的寄存器c1中的bit[0]置1,可以使能存储器保护单元MPU。在系统上电时,默认状态是该位清零,所有保护域无效。

 

在使能MPU之前,至少一个域要被设定,而且该域的属性和访问权限要预先设定好。

 

注意

在数据和指令域分离的系统中,如ARM940T,在指令和数据域中都要有一个有效域被预先设定好。

 

另外,使能MPU的指令要设在有效的域中。如果在使能MPU之前,域的属性和访问权限没有设定,那么系统的运行结果将不可预知。

 

当MPU无效(将协处理器CP15寄存器r1的bit[0]置0)时,整个内存区域都被处理器视为无Cache、无写缓存、无存储保护状态。

 

15.4.4  重叠域

域的定义在MPU的作用下可以重叠。当重叠的域被访问时,MPU会判断域的优先权,决定使用那个域的属性来操作重叠域。

 

域属性优先级的排列顺序为:域7的有效级最高,其次为域6,域0的优先级最低。

 

【例15.3】

假设将一个从0x3000起始的4KB地址空间定义为域2,其访问属性AP定义为0b10(AP=0b10,特权模式读/写访问,用户模式只读)。

 

将起始地址为0x0的16KB地址空间定义为域1,其访问属性AP定义为0b01(AP=0b01,特权模式只读)。

系统域划分如图15.17所示。

图15.17  重叠域的访问

 

当处理器在用户模式下执行Load指令,从0x3010地址取数据时,0x3010地址既在域1中也在域2中,因为域2的属性优先级高于域1,所有MPU执行域2的访问属性从0x3010地址取数据。域2是用户模式可读,所以不会发生数据异常。

 

在分配访问权限时重叠区域比非重叠区域有更大的灵活性,它可以使内存的某个特定联系内存单位在程序中担任背景的作用,用来给一块大存储空间分配相同的属性的低优先级域。其他具有较高优先级域的区域与该背景域某些部分重叠,用来改变已定义的背景域的较小子集的属性。这样,具有较高优先级的域可以改变背景域属性的子集。背景域可以用来保护一些睡眠状态的存储空间,使其不受非法访问,而此时由另一个不同域控制下的背景域的其他部分可以处于活跃状态。

 

15.4.5  与MPU相关的CP15寄存器

与MPU相关的协处理器寄存器主要是c2,c3,c5及c6。另外还有寄存器c1中的1到2位。

 

(1)c1中的MPU相关位

c1的编码格式如图15.18所示。

图15.18  协处理器寄存器c1编码格式

 

M(bit[0])控制控制MPU的使能。

·  M=0:禁止MPU

·  M=1:使能MPU

A(bit[1])选择是否支持内存访问地址对齐检查。

·  B=0:禁止地址对齐检查

·  B=1:使能地址对齐检查

 

(2)c2中的MPU相关位

c2的编码格式如图15.19所示。

图15.19  协处理器寄存器c2编码格式

 

寄存器位0~7分别对应域0~7的Cache属性。位8~31应该设置成0。

 

注意

在数据和指令分离的系统中,通过MRC和MCR指令的第二个操作数<opcode2>来决定读写D-Cache和I-Cache属性。

 

(3)c3中的MPU相关位

c3的编码格式如图15.20所示。

图15.20  协处理器寄存器c3编码格式

 

寄存器位0~7分别对应域0~7的写缓存属性。位8~31应该设置成0。

 

当用指令MCR/MRC对c3进行读写时,第二个操作数<opcode2>将被忽略,在指令要设置成0。

 

当配置数据域时,域的Cache位和写缓存区位一起决定域的访问策略。写缓存位有两个用途:使能/禁止域的写缓存和设置域的Cache写策略。域的Cache位控制写缓存位的作用。具体位分配见表15.16。

 

表15.16 Cache位和写缓存位的分配策略

Cache位

写缓存区位

域  属  性

C=0

B=0

禁止Cache、禁止写缓存

C=0

B=1

禁止Cache、使能写缓存

C=1

B=0

使能Cache,域使用回写策略

C=10

B=1

使能Cache,域使用直写策略

 

(4)访问权限寄存器c5

协处理器CP15的寄存器c5设置内存域的访问权限。

 

寄存器c5的编码格式如图15.21所示。

图15.21  寄存器c5的编码格式

 

读寄存器c3的bits[15:0]存放域的AP(access permission,访问权限),其中bits[2n+1:2n]对于域n的访问权限。AP编码与访问权限的对应关系如表15.17所示。

 

表15.17 AP编码与访问权限的对应关系

AP编码

管  理  者

用    户

00

不可访问

不可访问

01

读/写

不可访问

10

读/写

只读

11

读/写

读/写

 

对于Arm940T、Arm940T两个内核版本来说,使用MRC和MCR指令对其进行读写时,第二个协处理器寄存器<CRm>将被忽略,指令中以c0的形式出现。对于指令数据统一的域,第二操作数<opcode2>要设成0,而对于数据和指令分离的系统,如果opcode2=0,说明操作对数据域有效,如果opcode=1,说明操作对指令域有效。

 

注意

对于Arm946E-S和Arm1026EJ-S两个内核版本,它们的访问权限机制更复杂,采用的是扩展AP,扩展组AP位域编码支持两个增强的权限域,对其进行操作的MRC和MCR指令形式更复杂,有关更详细的内容,请参加Arm公司的用户手册。

 

(5)域大小控制寄存器c6

Arm系统中通过写协处理器c6来定义域的大小,通过MCR指令中第二个操作寄存器赋不同的值来指示是对哪个具体域进行操作。第二个操作寄存器取值为c0~c7,分别对应域0~域7。

 

每个域的起始地址必须对齐到其大小的整数倍。比如,一个域的大小位64KB,其起始地址可以是0x10000的整数倍的任何数。域的大小可以是4KB~4GB的2的任意乘幂。

 

寄存器c6的编码格式如图15.22所示。

图15.22  域大小控制寄存器c6编码格式

 

编码含义如表15.18所示

表15.18 寄存器c6编码含义

位  名  称

对  应  位

注    释

起始地址

[31:12]

保护域的第一个字节起始地址,具体见表2.18

SBZ

[11:6]

必须设为0

Size

[5:1]

设Size=N,则域尺寸为2N+1,其中11≤N≤31

E

[0]

域使能,E=1使能,E=0禁止

 

关于c6中bits[31:12],因为域的起始要是域大小的整倍数,域最小为4KB,所有域起始地址的bits[11:0]通常为0,不用设置。具体c6中起始地址的设置和c6中Size(bits[5:1])的对应关系如表15.19所示。

 

表15.19 域尺寸编码

Size(bits[5:1])

域  尺  寸

起始地址(bits[31:12])

0b00000~0b01010

未定义

0b01011

4KB

0b01100

8KB

bit[12]必须为0

0b01101

16KB

bits[13:12]必须为0

0b01110

32KB

bits[14:12]必须为0

0b01111

64KB

bits[15:12]必须为0

0b10000

126KB

bits[16:12]必须为0

0b10001

256KB

bits[17:12]必须为0

0b10010

512KB

bits[18:12]必须为0

0b10011

1MB

bits[19:12]必须为0

0b10100

2MB

bits[20:12]必须为0

0b10101

4MB

bits[21:12]必须为0

0b10110

8MB

bits[22:12]必须为0

0b10111

16MB

bits[23:12]必须为0

0b11000

32MB

bits[24:12]必须为0

0b11001

64MB

bits[25:12]必须为0

0b11010

128MB

bits[26:12]必须为0

0b11011

256MB

bits[27:12]必须为0

0b11100

512MB

bits[28:12]必须为0

0b11101

1GB

bits[29:12]必须为0

续表

Size(bits[5:1])

域  尺  寸

起始地址(bits[31:12])

0b11110

2GB

bits[30:12]必须为0

0b11111

4GB

bits[31:12]必须为0