動(dòng)態(tài)分配在 C/C++ 中普及,通過(guò)在運(yùn)行時(shí)根據(jù)需要將系統(tǒng)內(nèi)存分配給應(yīng)用程序進(jìn)程,并在不再需要內(nèi)存時(shí)檢索內(nèi)存,從而簡(jiǎn)化開(kāi)發(fā)。
但動(dòng)態(tài)分配被廣泛認(rèn)為是安全關(guān)鍵型嵌入式軟件的禁忌。使用 C 運(yùn)行時(shí)庫(kù)的 malloc() 和 free() API 來(lái)完成動(dòng)態(tài)分配的繁重工作,可能會(huì)引入災(zāi)難性的副作用,例如內(nèi)存泄漏或碎片。此外,malloc() 可能會(huì)表現(xiàn)出非常不可預(yù)測(cè)的性能,并成為多核系統(tǒng)上多線程程序的瓶頸。由于其風(fēng)險(xiǎn),根據(jù)DO-178B標(biāo)準(zhǔn),在安全關(guān)鍵型嵌入式航空電子代碼中禁止動(dòng)態(tài)內(nèi)存分配。
整個(gè)嵌入式行業(yè)的開(kāi)發(fā)人員似乎對(duì)這個(gè)話題做出了發(fā)自內(nèi)心的反應(yīng)。在最近的一次互聯(lián)網(wǎng)技術(shù)小組討論中,“你在嵌入式設(shè)計(jì)中使用動(dòng)態(tài)內(nèi)存分配嗎?”這個(gè)問(wèn)題獲得了驚人的77個(gè)回答,典型的是“一般來(lái)說(shuō),它被認(rèn)為違反了容錯(cuò)系統(tǒng)的最佳實(shí)踐”,以及“如果要求包括‘五個(gè)九’(99.999%的正常運(yùn)行時(shí)間)可靠性,硬實(shí)時(shí)或小內(nèi)存占用,答案是‘從不’。求職者請(qǐng)注意:一位咨詢工程師的面試策略“是溫和地探查潛在員工在實(shí)時(shí)應(yīng)用程序中的動(dòng)態(tài)內(nèi)存分配使用情況。如果他們對(duì)此沒(méi)有問(wèn)題,他們就不會(huì)被雇用。
更好的策略 - 無(wú)論是代碼安全和工作面試成功 - 是將安全關(guān)鍵代碼中的標(biāo)準(zhǔn)(默認(rèn))分配器替換為更匹配特定分配方案的自定義內(nèi)存分配函數(shù)。以下討論描述了兩個(gè)這樣的自定義內(nèi)存管理器:基于堆棧的分配器和線程本地分配器。擺脫 malloc() 和 free() 應(yīng)用程序的另一種方法——從而獲得更好的性能、穩(wěn)定性和可預(yù)測(cè)性——是用包含自定義分配器的現(xiàn)成軟件替換基于標(biāo)準(zhǔn)分配函數(shù)的代碼。內(nèi)存數(shù)據(jù)庫(kù)系統(tǒng)(IMDS)的使用被討論為這種“購(gòu)買而不是構(gòu)建”方法的一個(gè)例子。
這是標(biāo)準(zhǔn)的,但它是最好的嗎?
為什么標(biāo)準(zhǔn)(動(dòng)態(tài))內(nèi)存管理器不適合任務(wù)關(guān)鍵型代碼?通常,它們基于列表分配器算法,該算法將內(nèi)存池組織到單向鏈表中的連續(xù)位置(空閑孔)。然后,分配器“行走”這條鏈條,尋找合適的孔來(lái)滿足請(qǐng)求。列表分配器是典型的通用功能:它們?cè)诟鞣N情況下分配和解分配內(nèi)存方面做得很好 - 但在任務(wù)或安全關(guān)鍵系統(tǒng)中“相當(dāng)好”還不夠好。
基于堆棧的算法:分配和倒帶內(nèi)存
某些應(yīng)用程序方案需要分配許多生存期較短的對(duì)象,然后一次釋放所有對(duì)象?;诙褩5姆峙淦鳎ú灰c應(yīng)用程序調(diào)用堆棧混淆)是一種類型的自定義分配器,在這里運(yùn)行良好。使用此算法,每次分配返回堆棧指針當(dāng)前位置的地址,并按請(qǐng)求量推進(jìn)指針(圖 1)。當(dāng)不再需要內(nèi)存時(shí),堆棧指針將倒帶。處理開(kāi)銷減少了,因?yàn)闆](méi)有要管理的指針鏈,也沒(méi)有任何要跟蹤的分配大小或可用孔。這種方法也更安全:不會(huì)因不當(dāng)?shù)慕獬峙涠馔庖雰?nèi)存泄漏,因?yàn)閼?yīng)用程序不必跟蹤特定的分配。
圖1:基于堆棧的自定義分配器
與標(biāo)準(zhǔn)列表分配器相比,使用基于堆棧的分配器所消除的開(kāi)銷隨著應(yīng)用程序的繼續(xù)運(yùn)行而增加。當(dāng)內(nèi)存以隨機(jī)順序釋放時(shí),列表分配器通常需要將指針和大小值添加到其鏈中(這稱為碎片),以便指針和大小值表示占總堆大小的更大百分比。因此,列表分配器的開(kāi)銷(必須管理的元數(shù)據(jù)量以及必須走得更遠(yuǎn)才能找到合適的可用漏洞的可能性)隨著應(yīng)用程序的繼續(xù)運(yùn)行而增長(zhǎng)。(使用基于堆棧的分配器,從某個(gè)時(shí)間點(diǎn)分配的所有塊都會(huì)在一個(gè)操作中返回到堆中,從而避免碎片。
多線程、多核分配挑戰(zhàn)
當(dāng)多線程應(yīng)用程序陷入多處理器硬件時(shí),由互斥鎖控制的默認(rèn) malloc() 和 free() 函數(shù)通常是罪魁禍?zhǔn)?。使用這些分配器的線程可能會(huì)導(dǎo)致鎖定沖突,操作系統(tǒng)通過(guò)消耗性能的上下文切換部分解決這些問(wèn)題。自定義線程本地分配器通過(guò)為每個(gè)線程分配特定的內(nèi)存池來(lái)避免沖突。線程的分配是從這個(gè)塊執(zhí)行的,而不會(huì)干擾其他線程的請(qǐng)求,從而提高性能和可預(yù)測(cè)性。當(dāng)線程分配器內(nèi)存不足時(shí),如果系統(tǒng)允許,其他分配器可以為其分配另一個(gè)塊。線程本地分配器對(duì)每個(gè)線程使用掛起請(qǐng)求列表或 PRL 來(lái)協(xié)調(diào)由執(zhí)行原始分配的線程以外的線程釋放的內(nèi)存塊的釋放。由同一線程分配和取消分配的內(nèi)存不需要協(xié)調(diào),因此不會(huì)發(fā)生鎖沖突。
簡(jiǎn)而言之,通過(guò)從 malloc() 和 free() 中刪除內(nèi)存管理責(zé)任并將其分配給應(yīng)用程序,可以避免安全關(guān)鍵代碼中的問(wèn)題,應(yīng)用程序使用與特定應(yīng)用程序任務(wù)相吻合的自定義分配器。自定義分配器為該任務(wù)的獨(dú)占使用留出緩沖區(qū)(通常在啟動(dòng)期間),并滿足來(lái)自它的內(nèi)存分配請(qǐng)求。如果緩沖區(qū)內(nèi)存不足,應(yīng)用程序?qū)⑹盏酵ㄖ⒖梢葬尫啪彌_區(qū)內(nèi)的內(nèi)存。或者它可以在其他地方找到更多的內(nèi)存來(lái)投入到任務(wù)中。耗盡此專用池中的內(nèi)存不會(huì)影響系統(tǒng)的其他部分。可以選擇的自定義分配器包括所討論的分配器,以及位圖分配器、塊分配器等。
通過(guò)第三方應(yīng)用程序分配
自定義內(nèi)存分配器的優(yōu)勢(shì)也可以通過(guò)集成使用它們的第三方軟件來(lái)利用。IMDS是受益于自定義分配器的良好候選者,因?yàn)樗鼈儗iT設(shè)計(jì)用于管理RAM中的應(yīng)用程序?qū)ο蟆D 2 說(shuō)明了使用 malloc() 和 free() 進(jìn)行分配/解除分配。圖3顯示了使用McObject的eXtremeDB的相同過(guò)程,這是一個(gè)IMDS,它結(jié)合了自定義分配器,包括基于堆棧和線程本地。在圖 2 的開(kāi)頭,C 程序定義了一個(gè)結(jié)構(gòu),聲明了一個(gè)指向該結(jié)構(gòu)實(shí)例的指針,并通過(guò) malloc() 為其分配內(nèi)存。
圖2:使用 malloc() 和 free() 進(jìn)行內(nèi)存分配
圖3:使用內(nèi)存數(shù)據(jù)庫(kù)系統(tǒng)的內(nèi)存分配
使用IMDS的程序員在數(shù)據(jù)庫(kù)模式文件中定義類,該文件被處理(通過(guò)特殊的編譯器)以產(chǎn)生.C 文件,以及 。包含類型定義和函數(shù)原型的 H 文件。
如果使用 malloc/free 的程序是多線程的,并且線程將共享 Sensor 對(duì)象,則開(kāi)發(fā)人員必須實(shí)現(xiàn)并發(fā)控制。使用IMDS,并發(fā)性通過(guò)事務(wù)自動(dòng)管理。圖 3 顯示了事務(wù)如何開(kāi)始 (mco_trans_start) 并獲取事務(wù)句柄。
調(diào)用 Sensor_new() 會(huì)聲明一些專用于新傳感器對(duì)象的 IMDS 內(nèi)存池。(在軍事/航空航天應(yīng)用中,傳感器對(duì)象可以代表任何東西,從用于跟蹤導(dǎo)彈目標(biāo)的光學(xué)傳感器到用于化學(xué)戰(zhàn)防御的生物傳感器或幫助導(dǎo)航飛機(jī)的運(yùn)動(dòng)傳感器。Sensor_new() 返回?cái)?shù)據(jù)庫(kù)對(duì)象的句柄,通過(guò)該句柄可以寫入和/或讀取對(duì)象的值。相比之下,C 程序直接處理結(jié)構(gòu)的字段,從而在多線程應(yīng)用程序中創(chuàng)建并發(fā)訪問(wèn)控制的需求。
當(dāng) C 程序完成使用 Sensor 結(jié)構(gòu)時(shí),free() 將內(nèi)存返回到堆中。當(dāng)帶有IMDS的代碼完成時(shí),數(shù)據(jù)庫(kù)中的空間被放棄,事務(wù)結(jié)束,用于傳感器對(duì)象的內(nèi)存返回到專用內(nèi)存池。
eXtremeDB IMDS可能會(huì)內(nèi)存不足,但這會(huì)產(chǎn)生“數(shù)據(jù)庫(kù)已滿”錯(cuò)誤消息,應(yīng)用程序可以處理該錯(cuò)誤消息。相反,由 malloc() 和 free() 引起的內(nèi)存碎片和泄漏可能會(huì)破壞整個(gè)系統(tǒng)的穩(wěn)定性。IMDS提供了一種“幕后”工作的機(jī)制,通過(guò)使用多種底層分配器類型,以更高的效率和靈活性分配和釋放內(nèi)存,避免malloc()和free()固有的風(fēng)險(xiǎn)。
但是,自定義內(nèi)存管理器并不是IMDS所特有的。例如,用于管理傳感器網(wǎng)絡(luò)的現(xiàn)成代碼非常適合一種稱為塊分配器的自定義內(nèi)存管理器。雖然離散傳感器值事先不知道,但這些值的大小是固定的(如 4 字節(jié)時(shí)間戳和 8 字節(jié)值),并且塊分配器擅長(zhǎng)分配預(yù)定義大小的內(nèi)存塊?;诙褩5姆峙淦鲗?duì)于任何計(jì)算需求都很有用,可以分為需要所有內(nèi)存的第一階段和不再需要所有內(nèi)存的第二階段。任何必須解析某些輸入流的程序都符合此描述。例如,通信監(jiān)視程序可能會(huì)解析文本流(口語(yǔ)),構(gòu)建令牌樹(shù)(單詞或短語(yǔ)),然后對(duì)其執(zhí)行一些后處理。這種后處理可能是決定給定的單詞或短語(yǔ)是否與其上下文相關(guān)。
事實(shí)上,很難想象一種應(yīng)用程序類型不會(huì)從面向其特定分配模式和挑戰(zhàn)的內(nèi)存管理中受益。當(dāng)然,自定義內(nèi)存管理為已經(jīng)復(fù)雜的軟件開(kāi)發(fā)任務(wù)增加了另一個(gè)考慮因素。但是,進(jìn)入安全關(guān)鍵領(lǐng)域的軟件工程師知道,與消費(fèi)者或業(yè)務(wù)應(yīng)用程序開(kāi)發(fā)相比,需求和風(fēng)險(xiǎn)更高。編寫避免動(dòng)態(tài)內(nèi)存分配而是使用一個(gè)或多個(gè)自定義內(nèi)存管理器的代碼不太方便。但它增加了安全性和穩(wěn)定性,這是安全關(guān)鍵系統(tǒng)的工程師應(yīng)該接受的權(quán)衡。
審核編輯:郭婷
-
嵌入式
+關(guān)注
關(guān)注
5090文章
19176瀏覽量
306916 -
API
+關(guān)注
關(guān)注
2文章
1510瀏覽量
62293 -
C++
+關(guān)注
關(guān)注
22文章
2114瀏覽量
73793
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論