使用 SysConfig 中的沙盒定義必須與應(yīng)用程序其他部分信息安全隔離的應(yīng)用模塊組。每個(gè)沙盒都與一個(gè) SSU STACK 關(guān)聯(lián),并且至少包含一個(gè)應(yīng)用模塊以及一個(gè)堆棧內(nèi)存 AP 范圍���。與沙盒中的應(yīng)用模塊關(guān)聯(lián)的所有 LINK 都具有對(duì)沙盒堆棧內(nèi)存的讀取/寫入訪問(wèn)權(quán)限��;所有其他 LINK 都沒(méi)有訪問(wèn)權(quán)限���。每個(gè)沙盒都與一個(gè)調(diào)試 ZONE 關(guān)聯(lián)�����。
SysConfig 在鏈接器命令文件中為每個(gè)沙盒定義了一個(gè) SECURE_GROUP��。此設(shè)置使鏈接器要求從其他 STACK 進(jìn)入沙盒 STACK 的所有函數(shù)調(diào)用都必須受到保護(hù)�����。默認(rèn)情況下���,任何進(jìn)入 SECURE_GROUP 的未受保護(hù)調(diào)用都會(huì)導(dǎo)致鏈接器生成錯(cuò)誤����。SysConfig 提供了自動(dòng)生成 trampoline 和登錄調(diào)用的選項(xiàng)�,以滿足受保護(hù)調(diào)用要求�����。啟用該選項(xiàng)時(shí)����,請(qǐng)務(wù)必檢查輸出鏈接器映射文件,以確認(rèn)沒(méi)有生成到不可信代碼的不良跨堆棧 trampoline�。
注: 由于需要將 CPU 寄存器保存到堆棧內(nèi)存或從堆棧內(nèi)存恢復(fù) CPU 寄存器,跨堆棧 trampoline 可能會(huì)增加延遲�,從而可能影響應(yīng)用程序性能。為了獲得出色性能���,可通過(guò)向函數(shù)定義中添加 __attribute__((c29_protected_call))�����,直接在應(yīng)用程序代碼中實(shí)現(xiàn)受保護(hù)的函數(shù)調(diào)用�。
注: 可在 Special Modules 選項(xiàng)卡下訪問(wèn) STACK1 配置�����。