MPU抽象层设计与使用方法

内存保护单元
内存保护单元是一个可编程的设备，用来指定一块特定内存区域的访问权限，比如读，写，和从该区域执行代码的权限。内存保护单元可以增加系统的健壮性，预防一些黑客的攻击。ARMV7-M和ARMV8-M都提供了内存保护单元，简称MPU（Memory Protection Unit）。RISC-V也提供了相似的功能，简称PMP（Physical Memory Protection）。

项目进展
目前对ARMV7-M和ARMV8-M架构实现了初步的支持。框架通用的代码在components/mp目录下，硬件相关的代码存放在libcpu，并提供了两个简单的例程。

功能简介
RT-Thread操作系统的任务和内核使用同一个地址空间，全部运行在特权级。所有代码默认对任何内存都有读，写，和执行的权限。使用MPU框架可以给特定的内存区域设置更低的权限，如只读权限。MPU框架可以被用来实现以下的功能：

把关键数据或代码设置成只读，防止它们被破坏
任务隔离，设定特定地址只能由特定的任务访问

检测栈溢出
把数据区域设置为不可执行，防止栈溢出攻击

使用方法

Menuconfig配置
通过menuconfig进入RT-Thread Components->Memory Protection配置相关选项

RT_USING_MEM_PROTECTION：开启MPU抽象层
RT_USING_HW_STACK_GUARD：使用MPU检测栈溢出。具体实现原理是在任务栈顶和栈底各设置一个MPU区域，权限设置为不可访问。如果发生栈溢出，代码访问了MPU保护的地址，会触发异常
NUM_MEM_REGIONS：硬件支持的MPU区域数量
NUM_EXCLUSIVE_REGIONS：使用rt_mem_protection_add_exclusive_region函数配置的内存区域数量
NUM_CONFIGURABLE_REGIONS：各任务可以通过rt_mem_protection_add_region函数配置的内存区域数量

内存区域配置
MPU抽象层提供了以下的API来配置任务对内存区域的权限：

rt_err_t rt_mem_protection_add_region(rt_thread_t thread, rt_mem_region_t *region)：添加内存区域
rt_err_t rt_mem_protection_delete_region(rt_thread_t thread, rt_mem_region_t *region)：删除内存区域
rt_err_t rt_mem_protection_update_region(rt_thread_t thread, rt_mem_region_t *region)：更新内存区域配置
内存区域的特性由rt_mem_region_t结构体定义：

typedef struct {
void start; / 起始地址 /
rt_size_t size; / 区域大小 /
rt_mem_attr_t attr; / 区域特性 */
} rt_mem_region_t;
其中attr可通过以下宏来定义，使用这样定义的代码在任何处理器架构下都是通用的：

RT_MEM_REGION_P_RW_U_RW：可读写
RT_MEM_REGION_P_RO_U_RO: 只读
RT_MEM_REGION_P_NA_U_NA：不可访问
RT_MEM_REGION_P_RWX_U_RWX：可读写，执行
RT_MEM_REGION_P_RX_U_RX：只读，可执行
通常程序需要定义一块内存区域只能由一个特定的任务访问。允许访问该内存区域的任务可以调用以下函数实现这个功能：

rt_err_t rt_mem_protection_add_exclusive_region(void *start, rt_size_t size)：添加内存区域
rt_err_t rt_mem_protection_delete_exclusive_region(void *start, rt_size_t size)：删除内存区域
初始化
使用MPU抽象层之前需要在board.h文件定义固定的MPU区域数量：

#define NUM_STATIC_REGIONS 2
在board.c文件定义固定的MPU区域特性：

rt_mem_region_t static_regions[NUM_STATIC_REGIONS] = {
/* Flash region, read only */
{
.start = (void )STM32_FLASH_START_ADRESS,
.size = (rt_size_t)STM32_FLASH_SIZE,
.attr = RT_MEM_REGION_P_RX_U_RX,
},
/ SRAM regin, no execute */
{
.start = (void *)STM32_SRAM_START_ADDRESS,
.size = (rt_size_t)STM32_SRAM_SIZE,
.attr = RT_MEM_REGION_P_RW_U_RW,
},
};
任何代码进行内存访问，都要遵守这些区域的配置。可以用固定的MPU区域，把代码段配置为只读，可执行，把数据段配置成可读写，不可执行。

另外必须确保配置的MPU区域数量满足以下的关系：

如果开启了RT_USING_HW_STACK_GUARD：NUM_STATIC_REGIONS + NUM_CONFIGURABLE_REGIONS + NUM_EXCLUSIVE_REGIONS + 2 <= NUM_MEM_REGIONS
如果没有开启RT_USING_HW_STACK_GUARD：NUM_STATIC_REGIONS + NUM_CONFIGURABLE_REGIONS + NUM_EXCLUSIVE_REGIONS <= NUM_MEM_REGIONS
异常检测
程序可以注册钩子函数，用来检测内存异常：

rt_err_t rt_hw_mp_exception_set_hook(rt_hw_mp_exception_hook_t hook)
hook函数会在发生内存异常时被调用。函数声明如下：

typedef void (*rt_hw_mp_exception_hook_t)(rt_mem_exception_info_t *)
rt_mem_exception_info_t结构体根据处理器机构定义，对于ARM架构，提供以下用来诊断内存异常的信息：

typedef struct {
rt_thread_t thread; /* 触发异常的线程 */
void addr; / 发生异常的地址 /
rt_mem_region_t region; / 地址对应的内存区域 /
rt_uint8_t mmfsr; / MemManage Status寄存器的值 */
} rt_mem_exception_info_t;