1. 项目概述为什么需要关注RISC-V PMP如果你正在或即将在RISC-V平台上进行嵌入式开发、操作系统移植或者设计安全相关的固件那么“物理内存保护”这个概念你迟早会碰到。PMP全称Physical Memory Protection是RISC-V架构中一个至关重要的安全特性。它不像CPU主频或者缓存大小那样直观但却是构建一个稳定、安全、可靠系统的基石。简单来说PMP寄存器就是一套“看门人”规则。在一个没有操作系统的裸机环境或者一个简单的实时操作系统里所有的代码都运行在最高权限模式机器模式M-mode。如果没有PMP一段有缺陷的应用程序代码就可能随意读写任何物理内存地址包括操作系统的关键数据区、外设寄存器甚至是引导代码本身导致系统崩溃或被恶意利用。PMP的作用就是允许M-mode下的软件通常是引导程序或安全监控器为低权限模式如用户模式U-mode、监管者模式S-mode划定明确的“活动范围”规定它们能访问哪些内存区域以及能以什么方式读、写、执行访问。理解并配置好PMP意味着你能从硬件层面为你的系统建立起第一道内存访问防线。这对于防止软件错误扩散、实现任务隔离、乃至构建可信执行环境都至关重要。无论你是嵌入式开发者、RTOS工程师还是对计算机体系结构安全感兴趣的学习者掌握PMP都是深入理解RISC-V特权架构和系统安全设计的必经之路。2. PMP寄存器架构与核心机制解析RISC-V的PMP机制主要通过一组CSR控制和状态寄存器来实现。其设计哲学是灵活且可扩展的以适应从极简嵌入式设备到高性能应用处理器的不同场景。2.1 PMP配置寄存器与地址寄存器PMP规则由成对的寄存器共同定义PMP地址寄存器pmpaddr0-pmpaddrN和PMP配置寄存器pmpcfg0-pmpcfgN。每个pmpcfg寄存器通常为64位在RV32下每个pmpcfg寄存器包含8个8位的字段分别对应8个PMP条目在RV64下则包含16个4位的字段。每个PMP条目entry由一个pmpcfg字段和一个pmpaddr寄存器组成。pmpcfg字段8位详解这8位控制了一个PMP条目的核心行为L (Lock, 位7)锁定位。这是PMP中最关键的位之一。当L位被置1时不仅锁定了当前PMP条目的配置R/W/X/A和地址还会锁定该条目及其之前所有条目的配置直到下一次系统复位。更重要的是锁定的条目在M-mode下也无法修改。这为固件创建永久的、受硬件保护的安全区域如引导ROM、安全监控代码区提供了可能。一旦锁定只有复位能解除。保留位 (位6:5)目前必须写0。A (Addressing Mode, 位4:3)地址匹配模式。这决定了如何解读对应的pmpaddr寄存器值来形成保护区域。00(OFF)关闭该PMP条目。无效。01(TOR)Top of Range。当前pmpaddr寄存器的值定义了上一个TOR条目区域的结束地址即上界而本条目pmpaddr的值定义了本区域的结束地址。区域起始地址是上一个条目的结束地址。这是最直观的模式。10(NA4)Natural 4-byte region。pmpaddr直接作为一个4字节对齐区域的基址。区域大小固定为4字节。适用于保护单个32位寄存器。11(NAPOT)Natural power-of-two region。pmpaddr编码了一个以2的N次幂对齐和大小的区域。这是最节省条目、最灵活的模式。X (eXecutable, 位2)是否允许在该区域执行指令。1为允许0为禁止。这是防止代码注入攻击的关键。W (Writeable, 位1)是否允许写入。1为允许0为禁止。用于创建只读数据区或只读代码区。R (Readable, 位0)是否允许读取。1为允许0为禁止。注意如果R0则W位必须也为0不可读则必然不可写。这可以创建完全不可访问的“空洞”区域。pmpaddr寄存器详解这是一个XLEN位32位或64位的寄存器但其解释完全依赖于对应pmpcfg.A字段的模式。在TOR模式下pmpaddr存储的是区域的结束字节地址即上界。注意在RV32下pmpaddr存储的是物理地址右移2位除以4后的值。在RV64下是右移3位除以8后的值。这是为了节省寄存器位宽因为地址总是至少4字节或8字节对齐的。在NAPOT模式下pmpaddr的编码方式非常巧妙。它表现为一个二进制数从最低位开始向上连续为1的位数决定了区域的大小。具体规则是如果最低N位为1其余高位为区域基址则区域大小为 2^(N3) 字节对于RV32/64最小为8字节。例如pmpaddr 0x...0xFF8二进制...1111 1111 1000最低3位为0接着有连续8个1不更准确的方法是找到从最低位开始的连续1的个数。实际上pmpaddr的值是(base 2) | ((size-1) 1)的一种编码。一个更简单的理解是区域基址必须是其大小的整数倍pmpaddr中从最低位开始连续的1表示“掩码”连续的0表示基址部分。例如一个64字节的区域2^6其pmpaddr的[5:0]位可能是011111表示掩码[XLEN-1:6]是基址。注意pmpaddr寄存器的复位值是不确定的而pmpcfg寄存器的复位值通常为0即所有条目关闭。在配置PMP前务必先写好地址寄存器再写配置寄存器尤其是使用LOCK位时顺序错误可能导致无法预料的锁定状态。2.2 地址匹配模式深度剖析理解A字段的几种模式是灵活运用PMP的关键。TOR模式这是最符合直觉的“范围”模式。假设我们配置了条目i和ji j且它们的A字段均为TOR。那么条目i定义的区域的结束地址是pmpaddr[i]而条目j定义的区域的结束地址是pmpaddr[j]同时条目j区域的起始地址就是pmpaddr[i]即上一个TOR条目的结束地址。第一个TOR条目的起始地址是0。这种模式需要至少两个条目才能定义一个区域并且条目必须连续配置为TOR。它的优点是区域边界可以任意定义只要对齐到4或8字节缺点是比较消耗条目。NA4模式专为保护极小内存对象设计如一个特定的外设状态寄存器或一个安全变量。它只消耗一个条目但区域大小固定为4字节。在RV64架构中虽然地址是64位的但NA4模式依然只保护4字节。这在需要精确保护某个32位寄存器时非常高效。NAPOT模式这是最常用、最节省条目的模式。它允许你定义一个大大小是2的N次幂N3即最小8字节且自然对齐基址是自身大小的整数倍的区域。其编码的精妙之处在于硬件可以通过简单的位操作快速检查一个地址是否落在区域内。例如要保护从0x8000_0000开始、大小为1KB1024字节2^10的区域。首先基址0x8000_0000是1024的整数倍。在RV32下pmpaddr应存储(基址 2) | ((大小-1) 3)更准确的计算是pmpaddr (base 2) | ((size 1) - 1)。对于1KB区域size1024(size 1) - 1 511 0x1FF。假设base2 0x2000_0000举例那么pmpaddr值就是0x2000_01FF。观察这个值的二进制你会发现从最低位LSB向上有9个连续的1因为511的二进制是0b111111111这9个1就编码了1KB的大小信息2^(93) 2^12 4096? 这里需要修正公式。正确的NAPOT编码规则是如果区域大小为 2^(N3) 字节则pmpaddr寄存器的低N位应为1其余高位为基址右移2位后的值。对于1KB2^10区域N 10 - 3 7。所以pmpaddr的低7位应为1即pmpaddr[6:0] 7‘b111_1111。pmpaddr(0x8000_0000 2) | 0x7F0x2000_0000 | 0x7F0x2000_007F。2.3 优先级与匹配规则当一次内存访问发生时硬件如何决定使用哪条PMP规则呢规则如下顺序匹配硬件从pmpcfg0对应的条目0开始依次向下检查每个启用的A ! OFFPMP条目。首次匹配访问地址落入某个PMP条目定义的区域内则立即使用该条目的权限R/W/X进行校验。即使后面的条目也匹配该地址也不会被考虑。默认拒绝如果访问地址没有落入任何已启用的PMP区域那么对于非M-mode的访问默认是拒绝的。对于M-mode的访问当没有PMP条目匹配时其访问权限通常不受限制除非通过其他机制如ePMP但具体行为需参考特权架构手册。这个“首次匹配”规则带来了一个非常重要的配置策略你需要将最具体、限制最严格的规则放在前面低索引号将较宽松或通用的规则放在后面。例如如果你想保护一小块核心数据区为只读而将大片RAM区域设为可读写你必须将定义核心数据区的小范围条目放在定义RAM的大范围条目之前。否则如果大范围条目先匹配小区域的特例保护就会失效。3. PMP配置实战从零开始构建内存保护方案理论说得再多不如动手配置一遍。我们假设一个典型的RISC-V嵌入式场景RV32架构有一块从0x80000000开始的256KB SRAM一个从0x10000000开始的64KB Boot ROM只读执行一个UART外设寄存器在0x400000004字节需读写以及一个从0x20000000开始的128KB区域需要完全禁止访问作为隔离区。我们将为S-mode和U-mode配置PMP。3.1 规划PMP条目我们需要根据区域大小和属性来规划条目使用优先使用NAPOT模式以节省条目。Boot ROM区域 (0x10000000, 64KB, R-X)大小64KB 65536字节 2^16 字节。NAPOT参数大小 2^16, 则 N 16 - 3 13。pmpaddr低13位为1。基址右移2位0x10000000 2 0x04000000。pmpaddr值0x04000000 | ((1 13) - 1) 0x04000000 | 0x1FFF 0x04001FFF。pmpcfgANAPOT(11), R1, W0, X1, L0 (假设不锁定)。即8‘b00001101 0x0D。隔离区 (0x20000000, 128KB, No Access)大小128KB 131072字节 2^17 字节。NAPOT参数N 17 - 3 14。基址右移2位0x20000000 2 0x08000000。pmpaddr值0x08000000 | ((1 14) - 1) 0x08000000 | 0x3FFF 0x08003FFF。pmpcfgANAPOT(11), R0, W0, X0, L0。即8‘b00001100 0x0C。注意R0时W必须为0。UART寄存器 (0x40000000, 4字节, RW-)大小4字节。正好使用NA4模式。pmpaddr值0x40000000 2 0x10000000。pmpcfgANA4(10), R1, W1, X0, L0。即8‘b00010011 0x13。主SRAM区域 (0x80000000, 256KB, RWX)大小256KB 262144字节 2^18 字节。NAPOT参数N 18 - 3 15。基址右移2位0x80000000 2 0x20000000。pmpaddr值0x20000000 | ((1 15) - 1) 0x20000000 | 0x7FFF 0x20007FFF。pmpcfgANAPOT(11), R1, W1, X1, L0。即8‘b00001111 0x0F。条目顺序安排按照“特殊优先”原则。UART是精确的4字节点放在前面。然后是只读执行的Boot ROM再是完全禁止的隔离区最后是通用的SRAM区域。这样对UART地址的访问会被条目3精确匹配不会落入后面的大范围SRAM条目。3.2 编写配置代码以下是用C语言结合内联汇编进行配置的示例。假设我们使用条目3~6。#include stdint.h // 假设这些是CSR的地址具体值需根据工具链定义 #define CSR_PMPADDR3 0x3b3 #define CSR_PMPADDR4 0x3b4 #define CSR_PMPADDR5 0x3b5 #define CSR_PMPADDR6 0x3b6 #define CSR_PMPCFG0 0x3a0 // pmpcfg0 控制条目0-7 static inline void write_csr(int csr, uint32_t val) { asm volatile (csrw %0, %1 :: i(csr), r(val)); } static inline uint32_t read_csr(int csr) { uint32_t val; asm volatile (csrr %0, %1 : r(val) : i(csr)); return val; } void configure_pmp() { // 1. 首先写入所有pmpaddr寄存器 write_csr(CSR_PMPADDR3, 0x10000000); // UART, NA4模式地址需右移2位 write_csr(CSR_PMPADDR4, 0x04001FFF); // Boot ROM, NAPOT编码 write_csr(CSR_PMPADDR5, 0x08003FFF); // 隔离区, NAPOT编码 write_csr(CSR_PMPADDR6, 0x20007FFF); // SRAM, NAPOT编码 // 2. 计算pmpcfg0的值。pmpcfg0是一个64位寄存器但在RV32下分两次操作。 // 它包含8个8位字段对应条目0-7。我们需要设置条目3,4,5,6。 // 字段排列对于RV32[pmp7cfg][pmp6cfg][pmp5cfg][pmp4cfg][pmp3cfg][pmp2cfg][pmp1cfg][pmp0cfg] // 即字节顺序是从高到低对应条目号从高到低。 // 为了方便我们直接构造64位值然后分高低32位写入。 uint64_t pmpcfg0_val 0; // 条目3 (UART): 0x13, 位于第3个字节从低到高数 pmpcfg0_val | ((uint64_t)0x13 (8 * 3)); // 条目4 (Boot ROM): 0x0D, 第4个字节 pmpcfg0_val | ((uint64_t)0x0D (8 * 4)); // 条目5 (隔离区): 0x0C, 第5个字节 pmpcfg0_val | ((uint64_t)0x0C (8 * 5)); // 条目6 (SRAM): 0x0F, 第6个字节 pmpcfg0_val | ((uint64_t)0x0F (8 * 6)); // 在RV32下通过pmpcfg0和pmpcfg10x3a1组合访问64位。 // 通常pmpcfg0对应低32位条目0-3pmpcfg1对应高32位条目4-7。 // 但根据规范pmpcfg0是“可扩展的”具体实现可能不同。我们假设标准映射。 uint32_t pmpcfg0_low (uint32_t)(pmpcfg0_val 0xFFFFFFFF); uint32_t pmpcfg0_high (uint32_t)(pmpcfg0_val 32); // 注意有些实现可能将条目0-7都映射到pmpcfg064位CSR需查看具体手册。 // 以下为通用写法分别写入低32位和高32位到对应的CSR。 write_csr(CSR_PMPCFG0, pmpcfg0_low); // 写入低32位影响条目0-3 // 假设CSR_PMPCFG1是0x3a1控制条目4-7 write_csr(0x3a1, pmpcfg0_high); // 写入高32位影响条目4-7 // 3. 同步屏障确保配置生效 asm volatile (fence.i ::: memory); // 同步指令流 asm volatile (sfence.vma ::: memory); // 同步地址翻译如果存在MMU }实操心得在真实硬件上配置PMP时务必查阅你所使用的具体RISC-V内核的数据手册或特权架构手册。不同厂商的实现可能在CSR编号、pmpcfg寄存器的组织方式特别是RV32下如何组成64位上存在差异。上述代码中的CSR编号和pmpcfg组织方式仅为示例。一个常见的做法是使用像riscv-pk或OpenSBI这样的开源引导程序中已有的PMP配置函数作为参考。3.3 验证配置效果配置完成后如何验证PMP是否按预期工作软件读回验证最简单的方法是在M-mode下重新读取刚刚配置的pmpaddr和pmpcfgCSR确保写入的值是正确的。特别是对于NAPOT编码读回来的值可能与你写入的完全一致如果硬件支持读回这可以初步确认配置已加载。权限测试程序编写或切换到S-mode/U-mode的测试代码尝试访问不同区域。在SRAM区域0x80000000进行读、写、执行操作应该都成功。尝试向Boot ROM区域0x10000000写入数据应该触发异常存储访问异常。尝试从隔离区0x20000000读取数据应该触发异常加载访问异常。尝试跳转到UART地址0x40000000执行应该触发异常指令访问异常。在UART地址进行读写应该成功。异常处理当低权限模式访问违反PMP规则时会触发相应的异常加载/存储/指令访问故障。在M-mode或S-mode的异常处理程序中你可以检查mcause或scause寄存器确认异常原因码是否与PMP违规例如加载访问故障原因码为5存储访问故障为7指令访问故障为1相符并通过mtval/stval寄存器查看触发异常的地址。这是最直接的验证方式。4. 高级应用场景与设计考量PMP不仅仅是简单的内存开关在系统设计中它能扮演更复杂的角色。4.1 实现任务隔离与内存域保护在没有完整MMU的实时操作系统或裸机多任务环境中PMP是实现任务间隔离的利器。你可以为每个任务分配独立的、互不重叠的内存区域代码、数据、堆栈并为每个区域配置相应的PMP条目。当进行任务切换时操作系统在M-mode或S-mode下动态地重新配置PMP寄存器将当前运行任务的内存区域设置为可访问而将其他任务的内存区域设置为不可访问或只读。设计挑战与策略条目数量限制RISC-V标准允许实现少至0条多至16条PMP条目通常为8或16条。这限制了能同时保护的内存区域数量。策略是为每个任务分配一个或两个NAPOT区域一个用于代码只读数据一个用于数据堆栈或者使用TOR模式来定义更复杂但连续的区域。对于非常多的任务可能需要分时复用PMP条目在任务切换时全量重配这会带来一定开销。性能考虑频繁地写PMP CSR特别是pmpcfg可能会影响性能因为CSR写操作通常较慢。在设计调度器时需要考虑PMP重配的开销。一种优化是如果任务的内存布局固定且条目够用可以为所有任务预先静态配置好PMP条目切换时只更新少数几个控制全局的条目或使用优先级机制。4.2 与MMU协同工作在支持Sv32或Sv39等虚拟内存的RISC-V系统中PMP仍然有效且其检查发生在地址转换之后。即虚拟地址通过页表转换为物理地址然后该物理地址再经过PMP规则的检查。这意味着PMP提供了另一层物理层面的安全屏障即使页表被恶意修改PMP规则仍然可以阻止对关键物理区域的访问。典型用例保护固件和监控程序将Bootloader、安全监控器如OpenSBI的代码和数据所在物理区域通过PMP的Lock位永久锁定为M-mode only或只读。这样即使运行在S-mode的操作系统内核被攻破也无法篡改或跳转到这些安全代码区。划分安全世界与非安全世界在实现TEE可信执行环境时可以将一部分物理内存如安全OS和TA的代码数据通过PMP配置为仅安全世界运行在M-mode或特定模式可访问而普通世界运行在S/U-mode完全不可见。这比单纯依赖页表更底层、更安全。4.3 锁定位的妙用与风险锁定位是PMP中最强大的功能也最需要谨慎使用。妙用创建不可变的安全锚点系统启动早期在引导阶段就用PMP锁定引导ROM、硬件信任根密钥存储区等。这些规则在后续所有软件阶段包括操作系统内核都无法被修改或绕过为系统提供了一个硬件信任基础。实现简单的安全启动链第一阶段引导程序BL0在验证并跳转到第二阶段引导程序BL1之前可以用PMP锁定BL1的代码区为只读执行防止BL1被后续阶段篡改。风险与注意事项不可逆操作一旦锁定在下次复位前无法修改。如果锁定了错误的区域或权限可能导致系统部分功能永久失效直到复位。锁定范围pmpcfg[i].L位被置1时会锁定条目i以及所有索引小于i的条目。这意味着你不能单独解锁一个被锁定的条目。规划锁定策略时必须从低索引到高索引依次考虑通常将需要永久保护的、范围最明确的规则放在最前面低索引并锁定它们。M-mode的访问被锁定的条目其规则同样适用于M-mode除非实现支持ePMP的MML机制。这意味着如果你锁定了某个区域为不可写即使是M-mode的代码也无法写入。这可以防止最高权限的代码出错但同时也要求引导程序在锁定前必须完成对该区域的初始化。5. 常见问题排查与调试技巧在实际使用PMP时你可能会遇到一些令人困惑的情况。以下是一些常见问题及排查思路。5.1 配置了PMP但似乎没生效检查当前特权模式PMP规则默认只对S-mode和U-mode生效。如果你在M-mode下测试PMP是不会限制访问的除非条目被锁定且该锁定位影响了M-mode或者启用了ePMP的ML。确保你的测试代码运行在S-mode或U-mode。检查mstatus寄存器mstatus寄存器中的MPP、MPRV等字段会影响权限检查。确保MPP正确设置了当前模式并且MPRV没有错误地改变有效权限模式。确认PMP实现通过misa寄存器或厂商手册确认你的硬件确实实现了PMP扩展‘P’位为1。有些低成本内核可能不支持PMP。条目顺序错误回忆“首次匹配”规则。如果你的通用区域如全地址空间可读写条目放在前面那么后面定义的特殊限制区域将永远不会被匹配到。仔细检查条目索引顺序。5.2 触发了意外异常分析异常原因和地址在异常处理程序中第一时间读取mcause或scause和mtval或stval寄存器。mcause会告诉你异常类型指令、加载、存储故障mtval会保存触发异常的物理地址。将这个地址与你配置的PMP区域进行比对。检查区域对齐和大小对于NAPOT模式区域基址必须是其大小的整数倍。如果你配置的基址不对齐硬件可能会忽略该条目或产生未定义行为。使用公式仔细计算NAPOT编码。检查权限组合确保没有配置出矛盾的权限例如R0但W1这是非法组合但硬件可能静默忽略或产生异常。同时尝试执行的区域必须X1。考虑原子操作有些RISC-V实现对于LR/SCLoad-Reserved/Store-Conditional这类原子指令的PMP检查有特殊规则。如果异常发生在原子指令上需要查阅手册确认。5.3 系统启动后部分外设无法访问引导程序锁定了区域许多开源引导程序如OpenSBI在运行时会配置并锁定PMP以保护自身代码和数据。这可能会意外地将你的外设内存区域覆盖或排除在外。你需要检查引导程序的PMP配置并确保你的应用程序要访问的区域在引导程序配置的允许范围内或者在你的应用程序中如果有足够权限重新配置PMP。更常见的做法是在引导程序中只锁定它自己必需的最小区域将大部分PMP条目的配置权交给后续阶段。5.4 调试工具的使用仿真器在Spike、QEMU等仿真器中运行可以单步调试并在内存访问时查看PMP检查的详细日志。这是理解PMP行为最直观的方式。调试器通过JTAG连接硬件在调试器中直接查看和修改PMP CSR寄存器观察其值的变化并结合内存访问断点进行测试。打印调试在M-mode的异常处理程序中打印出mcause、mtval以及所有PMP寄存器的值。这能帮你快速定位是哪个条目的规则导致了异常。配置PMP是一个需要耐心和细致的工作尤其是处理多个相互重叠或相邻的区域时。最好的实践是从最简单的配置开始比如只保护一个区域逐步增加复杂度并在每个阶段都进行充分的测试验证。理解其“看门人”的本质——它提供的是硬性的、物理层面的访问规则是构建可靠RISC-V系统不可或缺的一环。