RISC-V架构——物理内存保护（PMP）实战：从配置寄存器到安全区域设定

1. 初识RISC-V PMP：为什么需要物理内存保护？

第一次接触RISC-V的物理内存保护（PMP）功能时，我正为一个嵌入式项目调试内存越界问题。当时应用程序意外改写了关键配置区，导致系统崩溃。这种"手滑"操作在开发中很常见，而PMP就像给内存区域上了把锁——它能精确控制S模式（监管模式）和U模式（用户模式）对内存的访问权限。

简单来说，PMP解决了三个核心问题：

1. 权限隔离：默认情况下，S/U模式无法访问任何内存，必须通过PMP显式授权
2. 安全防护：防止用户程序意外修改只读数据或执行非代码区域
3. 硬件级保护：由芯片硬件直接检查，比软件方案更高效可靠

举个例子，假设你的嵌入式系统有块存储校准参数的RAM区域（比如0x20000000-0x20000FFF），通过PMP可以将其设为只读。这样即使程序出现bug尝试写入，硬件会立即触发异常，而不是默默改写数据导致后续运行出错。我在实际项目中就靠这个功能快速定位过多个隐蔽的内存错误。

2. PMP核心机制详解：寄存器与地址匹配

2.1 PMP配置寄存器解剖

PMP的核心是两组寄存器：

• pmpcfgX：8位配置寄存器，控制权限和匹配模式
• pmpaddrX：地址寄存器，定义保护区域边界

以64位处理器为例，每个pmpcfg寄存器包含8个配置项（每个项占8位），而32位处理器则是4个项。这里有个易错点：64位RISC-V的pmpcfg寄存器编号是pmpcfg0、pmpcfg2...只存在偶数编号，这是为了兼容性设计。

每个配置项（如pmp0cfg）的位域含义如下：

| L | 0 | A | X | W | R | 0 | 0 |

• L（Lock）：锁定后配置不可修改，且M模式也受限制
• A（Addressing Mode）：00=关闭 01=TOR 10=NA4 11=NAPOT
• X/W/R：分别控制执行、写、读权限

2.2 地址匹配的两种实战模式

2.2.1 TOR模式：精确范围控制

TOR（Top-Of-Range）模式通过相邻两个pmpaddr寄存器定义区域。比如：

• pmpaddr0 = 0x80000000（起始地址>>2）
• pmpaddr1 = 0x80001000（结束地址>>2） 这就划定了0x20000000-0x20003FFF的区域（注意地址需要左移2位还原）

2.2.2 NAPOT模式：对齐区域优化

NAPOT（Naturally Aligned Power-Of-Two）模式更节省寄存器。它的数学关系是：

区域大小 = 2^(n+3) 字节

其中n是pmpaddr中连续低位1的个数。例如：

• pmpaddr=0x20000FFF（二进制...111111111111） 表示区域大小=2^(12+3)=32KB，起始地址按大小对齐

我在RTOS项目中常用NAPOT模式配置堆栈保护区域，计算时可以用这个公式：

// 计算NAPOT参数 uint64_t napot_encode(uint64_t base, uint64_t size) { return (base >> 2) | ((size >> 3) - 1); }

3. 手把手配置PMP安全区域

3.1 实战案例：保护关键RAM区域

假设要保护0x20000000-0x2000FFFF的32KB区域，设为只读：

步骤1：选择匹配模式选用NAPOT模式（A=11），因为区域大小正好是2^15字节

步骤2：计算pmpaddr值

• 右移基地址：0x20000000 >> 2 = 0x08000000
• 计算NAPOT参数：15-3=12个连续1（0xFFF）
• 最终值：0x08000FFF

步骤3：设置pmpcfg配置项=0x9B（二进制10011011）：

• L=1（锁定）
• A=11（NAPOT）
• R=1（只读）
• W/X=0（禁止写/执行）

完整代码示例：

# 设置PMP0 li t0, 0x08000FFF csrw pmpaddr0, t0 li t0, 0x9B csrw pmpcfg0, t0

3.2 多区域配置技巧

当需要保护多个区域时，要注意优先级规则：

1. 低编号PMP条目优先级高
2. 锁定的条目不能被覆盖
3. 未覆盖的地址默认不可访问

建议的配置顺序：

1. 先配小范围关键区域（如外设寄存器）
2. 再配大范围普通区域（如S模式可访问的RAM）
3. 最后设置默认区域（如有需要）

4. 深度优化与陷阱规避

4.1 OpenSBI中的最佳实践

在开源Bootloader OpenSBI中，pmp_set()函数实现了灵活的PMP配置：

void pmp_set(uint8_t pmp_idx, uintptr_t addr, uint64_t size, uint8_t perm) { uint8_t cfg = PMP_A_NAPOT | perm; if (pmp_idx < PMP_COUNT) { csr_write_num(CSR_PMPADDR0 + pmp_idx, (addr >> 2) | ((size >> 3) - 1)); csr_write_pmpcfg(pmp_idx, cfg); } }

这个实现有三个亮点：

1. 自动处理地址对齐
2. 支持动态权限组合
3. 有边界检查防止越界

4.2 常见踩坑点

1. 地址对齐问题：NAPOT区域必须自然对齐，比如32KB区域起始地址必须是32KB倍数
2. 锁定的副作用：一旦锁定，连M模式也无法修改配置，调试时建议先不锁
3. 优先级混淆：两个PMP区域重叠时，低编号的权限生效
4. S模式陷阱：忘记给S模式开权限会导致突然的访问异常

有次调试时，我给某块内存设置了PMP保护，但忘记在OpenSBI中同步配置，导致引导阶段就触发异常。后来发现需要在fw_base.S中初始化PMP：

# 初始化PMP允许S模式访问全部内存 li t0, -1 csrw pmpaddr0, t0 li t0, 0x1F csrw pmpcfg0, t0

5. 进阶应用场景

5.1 安全启动链设计

在安全启动方案中，可以分层配置PMP：

1. BootROM阶段：锁定关键固件区域为只读
2. Bootloader阶段：开放加载区域可写
3. OS运行时：为用户程序配置最小权限集

5.2 实时系统的内存防护

对于RTOS，PMP能实现：

• 保护内核数据结构不被应用破坏
• 隔离不同任务的堆栈区域
• 创建安全的共享内存缓冲区

比如FreeRTOS-MPU版就利用PMP实现任务隔离，关键配置如下：

// 任务控制块(TCB)保护 pmp_set(0, (uintptr_t)pxTCB, sizeof(TCB_t), PMP_R | PMP_W); // 任务堆栈保护（底部留red zone） pmp_set(1, (uintptr_t)pxStack - 32, 32, PMP_NO_ACCESS);

5.3 调试辅助技巧

当PMP配置导致异常时，可以：

1. 检查mcause寄存器确认异常类型
2. 查看mtval获取触发地址
3. 用CSR指令dump所有PMP寄存器 我常用的调试命令：

# QEMU中查看PMP状态 info registers pmpcfg0 pmpaddr0

在真实硬件上，如果遇到无法解释的PMP异常，建议先用最简单配置测试（如仅开放一个可读写区域），再逐步添加限制，这能快速定位问题区域。记得在早期开发阶段先不要锁定配置，方便动态调整。