Кратко о сути
- Фон Неймана: единое адресное пространство для инструкций и данных — одна шина/память для загрузки команд и обращения к данным.
- Harvard: разделённые памяти (и/или шины) для инструкций и для данных — команды и данные могут читаться одновременно и/или иметь разные организации.
Преимущества разделения памяти инструкций и данных
- Параллелизм и пропускная способность: одновременный доступ к инструкции и к данным повышает throughput и уменьшает «бутылочное горло» шины.
- Разная оптимизация: память инструкций и память данных можно проектировать по-разному (ширина, время доступа, кэширование, кодирование), что выгодно для DSP/микроконтроллеров.
- Упрощение конвейера: легче вытягивать инструкции без конфликтов с обращениями к данным, улучшая тактовую частоту и детерминированность.
- Аппаратная политика исполнения: физическое разделение облегчает реализацию неизполняемых областей памяти (аппаратный NX).
- Энергоэффективность и стоимость в простых MCU: часто менее сложная шина для каждой роли даёт выигрыш в экономии и размере.
Где критично
- DSP и цифровая обработка сигналов: высокая пропускная способность инструкций/данных, жесткая задержка.
- Встраиваемые микроконтроллеры и IoT (особенно с жёсткими энергозатратами и простой архитектурой).
- Жёстко‑реальные и safety‑critical системы, где нужна предсказуемость времени выполнения.
- Аппаратура с ограниченными ресурсами (хардварные контроллеры, некоторые FPGA‑ядра).
Примечание: в современных CPU обычно применяется «модифицированный Harvard» — единое адресное пространство логически, но отдельные I‑ и D‑кэши физически.
Влияние на безопасность
Плюсы безопасности:
- Физическое разделение инструкций и данных априорно препятствует исполнению произвольных данных (сильная форма W^X/DEP) — затрудняет простые инъекции кода.
- Отдельные пути доступа могут ограничивать некоторые классы атак через запись в область с кодом.
Ограничения и минусы:
- Не защищает от ROP/CRP: если в памяти кода уже есть полезные «гаджеты», атаки переиспользования кода возможны.
- Не защищает от атак на данные (утечек, изменение конфигурации, логических ошибок).
- Не решает микроканальные (side‑channel) уязвимости и атаки через DMA, если периферия имеет доступ к памяти.
- Усложняет легитимные механизмы (JIT, self‑modifying code): такие техники требуют специальных механизмов перемещения/синхронизации между пространствами, что может приводить к уязвимостям при некорректной реализации.
Вывод / практическая рекомендация
- Аппаратное разделение памяти полезно для повышения производительности и для базовой защиты от исполнения данных — критично для DSP, многих MCU и real‑time систем.
- Для полной безопасности требуется сочетание аппаратных средств (NX, MMU/MPU, разделение прав), ОС‑механизмов (ASLR, привилегии) и внимательной архитектуры: простое физическое разделение само по себе недостаточно.