一般情況下，微控制器上運行的應用程序采用的都是單體式系統(tǒng)，即“用戶-內核”不隔離，這也是 SoC 和 MCU 在軟件架構上的差異之一。

傳統(tǒng)上，任何基于樂鑫芯片和 ESP-IDF 開發(fā)的應用程序均為單體式固件，即“內核”組件與“應用程序”或“業(yè)務邏輯”之間不相互獨立。因此一旦應用程序出錯就將導致整個系統(tǒng)崩潰。

如今，在 ESP 特權隔離框架下，能夠創(chuàng)建兩個獨立的執(zhí)行環(huán)境：用戶應用程序和內核（或特權）應用程序。

受保護的應用程序不會受到用戶應用程序異常的影響，極大地提高了安全性，用戶應用程序的任何BUG都不會影響到整個系統(tǒng)。

ESP 特權隔離的亮點：

支持兩個獨立的執(zhí)行環(huán)境：安全世界和非安全世界。

將單體式固件劃分為兩個獨立的固件：受保護（安全）應用程序和用戶（非安全）應用程序。

受保護的應用程序不受用戶應用程序異常的影響。

提供標準系統(tǒng)調用接口，允許用戶應用程序通過這些接口發(fā)起內核服務訪問請求。

保持與 ESP-IDF API 的一致性。

支持可配置的內存訪問權限和外設訪問權限。

支持在受保護的應用程序和用戶應用程序之間靈活分配內存。

分割固件大小，加快OTA完成速度。

技術細節(jié)

1. 應用程序的啟動過程

在 ESP 權限隔離框架下，應用程序的啟動流程與 ESP-IDF 一致，即 Boot ROM（一級引導加載程序）首先進行驗證，并從 flash 中加載 ESP-IDF 二級引導加載程序。然后，二級引導加載程序進行驗證，并加載受保護的應用程序。最后，受保護的應用程序在 flash 中尋找有效的用戶應用程序入口 (header)。如找到，則將設置適當?shù)臋嘞蓿L試驗證并加載用戶應用程序。

2. World 控制器和權限控制

ESP 特權隔離框架的主要目標是實現(xiàn)特權分離和強制權限管理。在 ESP32-C3 中，這是通過 World 控制器和權限管理控制器實現(xiàn)的。具體來說，權限管理控制器管理所有權限，而 World 控制器管理執(zhí)行環(huán)境（世界），且每個世界中均有獨立的權限配置。目前，我們有兩個世界：World0 和 World1。

World0 是安全（受保護）環(huán)境，World1 是非安全（用戶）環(huán)境。

*World和權限管理

如上圖所示：

安全世界（World0）擁有對地址段 A 的全部訪問權限。

非安全世界（World1）僅擁有對地址段 A 的讀權限。

在這種權限配置下，如果非安全世界試圖向地址段 A 中的任何地址進行寫操作，則將觸發(fā)非法訪問中斷。安全世界將處理這個非法訪問中斷，并采取適當措施。

3. CPU 的世界切換

從安全世界切換到非安全世界：CPU 可以從安全世界切換到非安全世界，此時僅需將需要切換的地址配置至 World 控制器的地址寄存器，接著當 CPU 執(zhí)行至該地址時即可從安全世界切換到非安全世界，此后在非安全世界執(zhí)行應用程序。

從非安全世界切換到安全世界：CPU 可以從非安全世界切換至安全世界，但只能通過中斷或異常，即系統(tǒng)中發(fā)生任何中斷都會導致 CPU 切換到安全世界。

4. 內存布局

在強制執(zhí)行權限管理后，下一步是分割內存。

內部 SRAM：

下圖展示了如何劃分 SRAM，供受保護的應用程序和用戶應用程序使用。SRAM 分為 IRAM 和 DRAM，可以根據(jù)應用程序的使用情況進行非常靈活的配置。

DRAM 區(qū)域包含對應應用程序的 .data 和 .bss 段，其余部分用作堆。在 ESP 特權隔離框架下，每個受保護的應用程序和用戶應用程序均有一個專用的堆分配器。

這種 SRAM 內存分布可以在受保護的應用程序升級后，依然很好地使用內存。此時，一旦受保護應用程序使用的 IRAM 有所增加或減少，我們均可以重新配置 IRAM-DRAM 分割線，且并不用影響用戶內存的劃分情況。

外部 flash：

下圖展示了如何在受保護的應用程序和用戶應用程序之間分割 flash 虛擬內存。與內存分割一樣，flash MMU 地址段也分為 .rodata 和 .text 區(qū)域，可進行靈活配置。

5. 系統(tǒng)訪問接口

受保護的應用程序提供了一個標準的“系統(tǒng)調用”接口，用戶應用程序可以通過該接口請求訪問內核服務。這個過程會使用一個特殊的 CPU 指令生成一個同步異常，并通過這個異常將控制權移交給受保護的應用程序。系統(tǒng)調用處理程序將仔細檢查請求，并相應地執(zhí)行操作。下圖概述了系統(tǒng)調用接口的實現(xiàn)過程：

*系統(tǒng)調用執(zhí)行過程

6. API 一致性

對于大多數(shù)組件，受保護的應用程序和用戶應用程序均與 ESP-IDF API 保持一致。通過系統(tǒng)調用接口開放給用戶應用程序的組件必須使用系統(tǒng)調用實現(xiàn)，而不是實際功能實現(xiàn)。我們利用鏈接器的特點，使用系統(tǒng)調用定義覆蓋 API 的定義。這種與 ESP-IDF API 的一致性可以確保：

輕松將 ESP-IDF 示例應用程序（僅需少量修改）移植到此框架。

同一個程序可以構建為受保護的應用程序或用戶應用程序。

7. 用戶空間異常處理

在完成權限配置和內存分割后，可能會出現(xiàn)用戶應用程序故意或無意嘗試訪問受保護禁區(qū)的情況。此時，權限控制器會觸發(fā)一個非法訪問中斷，由受保護的應用程序處理。這種強制執(zhí)行權限管理的好處是，受保護的空間內存和應用程序不會受到用戶應用程序任何（錯誤）行為的影響。在 ESP 特權隔離框架中，我們允許受保護的應用程序注冊專門的處理程序，以應對用戶應用程序中出現(xiàn)的任何異常。這個處理程序還可以收集一些重要信息，并相應地處理異常。

8. 設備驅動程序

用戶應用程序可能需要通過外圍設備（SPI、I2C 等）才能與外部設備和傳感器通信。在 ESP 特權隔離框架中，我們將設備驅動實現(xiàn)在受保護的應用程序中，并通過標準 I/O 系統(tǒng)調用（open, read, write 等）的方式，將其開放給用戶應用程序。這樣一來，我們可以通過一組公共的系統(tǒng)調用接口，實現(xiàn)多個設備驅動程序。

此外，也可以向用戶應用程序開放對外設寄存器的訪問權限，允許用戶應用程序寫自己的驅動程序。

優(yōu)勢

ESP 特權隔離框架可以實現(xiàn)一些此前傳統(tǒng)單體式方法通常無法實現(xiàn)的用例和場景，以下為一些例子：

隔離系統(tǒng)和業(yè)務邏輯，從而分離維護軟件的責任劃分。

業(yè)務邏輯（用戶應用程序）中的任何錯誤都不會影響整個系統(tǒng)。用戶空間中的此類異常由受保護的應用程序捕獲并進行相應處理，并且允許實時收集并傳輸診斷信息（如果需要）。

可以獨立管理受保護應用程序和用戶應用程序的 OTA（空中升級）更新。只要兩者的接口相互兼容，受保護的應用程序和用戶應用程序可以有不同的發(fā)布節(jié)奏。

從認證角度來說，僅需認證一次受保護的應用程序并進行分發(fā)，之后的用戶應用程序均可基于此已認證的受保護應用程序進行構建。

設備可同時保留多個用戶應用程序，并使用同個受保護應用程序進行執(zhí)行。

傳統(tǒng)應用程序與ESP特權分離程序的內存使用對比（Rainmaker Demo）。