TPM分析笔记（六）TPM 如何使用setjmp和longjmp实现异常后处理。

背景

问题1

1、 _plat___RunCommand（）函数用于在TPM代码中调用 ExecuteCommand（）。这个函数为TPM命令字处理模块的主入口函数，用于处理来自TPM2-TSS软件栈协议数据。在调用 ExecuteCommand之前，为什么主入口函数需要先调用setjmp函数？

问题2

当TPM中出现故障时，手册上表示使用 _plat__Fail函数来恢复TPM环境。 _plat__Fail只调用了 longjmp，如何实现TPM环境恢复？它是怎么和 TpmFailureMode真正的主处理函数建立联系呢？

#include "Platform.h"
#include <setjmp.h>
#include "ExecCommand_fp.h"
jmp_buf              s_jumpBuffer;
/* C.11.3. Functions */
/* C.11.3.1. _plat__RunCommand() */
/* This version of RunCommand() will set up a jum_buf and call ExecuteCommand(). 
If the commandexecutes without failing, it will return and RunCommand() will return. If there is a failure inthe command, then _plat__Fail() is called and it will longjump back to RunCommand() which willcall ExecuteCommand() again. However, this time, the TPM will be in failure mode soExecuteCommand() will simply build a failure response and return. */
LIB_EXPORT void
_plat__RunCommand(uint32_t         requestSize,   // IN: command buffer sizeunsigned char   *request,       // IN: command bufferuint32_t        *responseSize,  // IN/OUT: response buffer sizeunsigned char   **response      // IN/OUT: response buffer)
{setjmp(s_jumpBuffer);ExecuteCommand(requestSize, request, responseSize, response);
}
/* C.11.3.2. _plat__Fail() */
/* This is the platform depended failure exit for the TPM. */
LIB_EXPORT NORETURN void
_plat__Fail(void)
{longjmp(&s_jumpBuffer[0], 1);
}

C 语言中 setjmp 和 longjmp

在 C 语言中，我们不能使用 goto语句来跳转到另一个函数中的某个 label 处。但是提供了两个函数 setjmp和 longjmp来完成这种类型的分支跳转。这两个函数在处理C语言的异常上面的非常有用。

我们都知道要想在一个函数内进行跳转，可以使用 goto语句（不知怎么该语句在中国学生眼中就是臭名昭著，几乎所有国内教材都一刀切地教大家尽量不要使用它，但在我看来，这根本不是语言的问题，而是使用该语言的人，看看 Linux 内核中遍地是 goto语句的应用吧！），但如果从一个函数内跳转到另一个函数的某处， goto是不能完成的，那该如何实现呢？

函数间跳转原理

我们要实现的一个 GOTO语句（自定义的），能实现在函数间进行任意跳转，如下例，在函数 test2()中有条语句GOTO Label;可以跳转到 test1()函数的 Label:标签所指向的位置，那么我们该如何实现呢？

void test1(void)
{//...Label://...
}void test2(void)
{//...GOTO Label;//...
}

首先我们要知道，实现这种类型的跳转，和操作系统中任务切换的上下文切换有点类似，我们只需要恢复 Label 标签处函数上下文即可。函数的上下文包括以下内容：

• 函数栈帧，主要是栈帧指针BP和栈顶指针SP
• 程序指针PC，此处为指向 Label 语句的地址
• 其它寄存器，这是和体系相关的，在 x86 体系下需要保存有的 AX/BX/CX 等等 callee-regs。

这样，在执行 GOTO Label;这条语句，我们恢复 Label处的上下文，即完成跳转到 Label处的功能。

如果你读过 Linux 操作系统进程切换的源码，你会很明白 Linux 会把进程的上下文保存在 task_struct 结构体中，切换时直接恢复。这里我们也可以这样做，将 Label处的函数上下文保存在某个结构体中，但执行到 GOTO Label语句时，我们从该结构体中恢复函数的上下文。

这就是函数间进行跳转的基本原理，而 C 语言中 setjmp 和 longjmp就为我们完成了这样的保存上下文和切换上下文的工作。

函数原型

include <setjmp.h>
int setjmp(jmp_buf env);

setjmp 函数的功能是将函数在此处的上下文保存在 jmp_buf 结构体中，以供 longjmp 从此结构体中恢复。

• 参数 env 即为保存上下文的 jmp_buf 结构体变量；==
• 如果直接调用该函数，返回值为 0； 若该函数从 longjmp调用返回，返回值为非零，由 longjmp函数提供。根据函数的返回值，我们就可以知道 setjmp函数调用是第一次直接调用，还是由其它地方跳转过来的。

 void longjmp(jmp_buf env, int val);

longjmp 函数的功能是从 jmp_buf 结构体中恢复由 setjmp 函数保存的上下文，该函数不返回，而是从 setjmp 函数中返回。

• 参数 env 是由 setjmp函数保存过的上下文。

• 参数 val 表示从 longjmp函数传递给 setjmp函数的返回值，如果 val 值为0， setjmp将会返回1，否则返回 val。

• longjmp不直接返回，而是从setjmp函数中返回，longjmp执行完之后，程序就像刚从 setjmp 函数返回一样。

  ---

案例说明

下面是个两个简单的例子，虽然还只是函数内跳转，但足以说明这两个函数的功能了。
案例一
运行该程序得到的结果为：

i = 0
i = 2

案例2

setjmp和longjmp源码解析

#define GPR_LAYOUT			\REG_PAIR (x19, x20,  0);	\REG_PAIR (x21, x22, 16);	\REG_PAIR (x23, x24, 32);	\REG_PAIR (x25, x26, 48);	\REG_PAIR (x27, x28, 64);	\REG_PAIR (x29, x30, 80);	\REG_ONE (x16,      96)#define FPR_LAYOUT			\REG_PAIR ( d8,  d9, 112);	\REG_PAIR (d10, d11, 128);	\REG_PAIR (d12, d13, 144);	\REG_PAIR (d14, d15, 160);// int setjmp (jmp_buf).global	setjmp.type	setjmp, %function
setjmp:mov	x16, sp /* 备份SP */
/* 将REG1/REG2寄存器的值，保存到地址值为x0 + OFFS 的（存储器）内存中 */
#define REG_PAIR(REG1, REG2, OFFS)	stp REG1, REG2, [x0, OFFS] 
/* 将REG1寄存器的值，保存到地址值为x0 + OFFS 的（存储器）内存中 */
#define REG_ONE(REG1, OFFS)		str REG1, [x0, OFFS] GPR_LAYOUT /* 备份x19-x30 PC(x16)寄存器信息 */FPR_LAYOUT /* 备份x8-x15 寄存器信息 */
#undef REG_PAIR
#undef REG_ONEmov	w0, #0ret.size	setjmp, .-setjmp// void longjmp (jmp_buf, int) __attribute__ ((noreturn)).global	longjmp.type	longjmp, %function
longjmp:
/* 将setjmp备份数据（X0+OFFS）恢复到REG1/REG2寄存器 */
#define REG_PAIR(REG1, REG2, OFFS)	ldp REG1, REG2, [x0, OFFS]
/* 将setjmp备份数据（X0+OFFS）恢复到REG1寄存器 */
#define REG_ONE(REG1, OFFS)		ldr REG1, [x0, OFFS]GPR_LAYOUT /* 恢复x19-x30 PC(x16)寄存器信息 */FPR_LAYOUT /* 恢复x8-x15 寄存器信息 */
#undef REG_PAIR
#undef REG_ONEmov	sp, x16 /* 恢复SP */cmp	w1, #0 /* 入参val是否为0 */cinc	w0, w1, eq// use br not ret, as ret is guaranteed to mispredictbr	x30 /* PC跳到setjmp备份的PC地址里去 */.size	longjmp, .-longjmp

背景问题解析

以下代码摘自libtpms源码（ExecuteCommand全代码很长，摘取关键部分作为伪代码）。

LIB_EXPORT void
ExecuteCommand(uint32_t         requestSize,   // IN: command buffer sizeunsigned char   *request,       // IN: command bufferuint32_t        *responseSize,  // IN/OUT: response buffer sizeunsigned char   **response      // IN/OUT: response buffer
)
{// Command local variablesuint32_t result;if(g_inFailureMode) {// Do failure mode processing/* TPM模块失败之后的异常处理 */TpmFailureMode(requestSize, request, responseSize, response); return;}//...//...result = XXXXXX_Call(XX, XX, XX);if(result != TPM_RC_SUCCESS)goto Cleanup;//...return;
Cleanup:if((g_updateNV != UT_NONE) && !g_inFailureMode) {if(!NvCommit())FAIL(FATAL_ERROR_INTERNAL); /* 进入longjump 分支 */}
}

1、_plat___RunCommand（）函数用于在TPM代码中调用ExecuteCommand（）。这个函数为TPM命令字处理模块的主入口函数，用于出来来自TPM2-TSS软件栈协议数据。在调用ExecuteCommand之前，为什么需要先调用setjmp函数？

解答：进入ExecuteCommand之前，调用setjmp函数保存当前上下文信息，为后续TPM出现异常之后，恢复使用。

2、当TPM中出现故障时，手册上表示使用_plat__Fail函数来恢复TPM环境。_plat__Fail只调用了longjmp，如何实现TPM环境恢复？它是怎么和TpmFailureMode真正的主处理函数建立联系呢？

解答：FAIL函数上报FATAL_ERROR_INTERNAL错误，将会进入TpmFail，跳转到_plat__Fail，通过longjmp完成函数间跳转，TPM失败之后g_inFailureMode被设置为True，重新进入ExecuteCommand，将会进入到TpmFailureMode异常分支处理了。