作  者：道哥，10 年的嵌入式開發(fā)老兵，專注于：C/C 、嵌入式、Linux。

關(guān)注下方公眾號，回復(fù)【書籍】，獲取 Linux、嵌入式領(lǐng)域經(jīng)典書籍；回復(fù)【PDF】，獲取所有原創(chuàng)文章( PDF 格式)。

目錄

• CPL：當(dāng)前特權(quán)級

  
  

• DPL：描述符特權(quán)級

  
  

• RPL：請求者特權(quán)級

  
  

• 特權(quán)級檢查規(guī)則

  
  

• 代碼段的檢查規(guī)則

  
  

• 數(shù)據(jù)段的檢查規(guī)則

  
  

• 棧段的檢查規(guī)則

  
  

• 
  

x86處理器中，提供了4個特權(quán)級別：0，1，2，3。數(shù)字越小，特權(quán)級別越高！

一般來說，操作系統(tǒng)是的重要性、可靠性是最高的，需要運(yùn)行在0 特權(quán)級；

應(yīng)用程序工作在最上層，來源廣泛、可靠性最低，工作在3 特權(quán)級別。

中間的1 和 2兩個特權(quán)級別，一般很少使用。

理論上來講，可以把那些可靠性介于操作系統(tǒng)和應(yīng)用程序之間的程序安排在這兩個特權(quán)級上。

在處理器中，有3個相關(guān)的術(shù)語與特權(quán)級密切相關(guān)：

1. CPL: Current Privilege Level 當(dāng)前特權(quán)級;

   
   

2. DPL: Descriptor Privilege Level 描述符特權(quán)級;

   
   

3. RPL: Requestor Privilege Level 請求特權(quán)級;

   
   

理解了這3個特權(quán)級的保護(hù)規(guī)則，就理解了操作系統(tǒng)保護(hù)系統(tǒng)的終極密碼！

CPL：當(dāng)前特權(quán)級

當(dāng)前特權(quán)級，是指當(dāng)前正在執(zhí)行的代碼的特權(quán)級別，它由當(dāng)前正在執(zhí)行的代碼段寄存器cs中的bit[1 ~ 0]來決定：

cs寄存器中的最低兩位怎么寫的是RPL？

原因是這樣的：我們在執(zhí)行一段代碼之前，這段代碼位于內(nèi)存中的一段空間中，而它的代碼段描述符位于LDT局部描述符表中，如下圖所示：

假設(shè)現(xiàn)在想進(jìn)入這個代碼段中執(zhí)行，那么我們就需要給代碼段寄存器 cs賦值為：0x0007 (0000_0000_0000_0111)。

此時cs寄存器中當(dāng)前內(nèi)容的低兩位就稱作：當(dāng)前優(yōu)先級，而準(zhǔn)備賦值給cs的值是0x0007，這個0x0007就稱作選擇子。

按照選擇子的結(jié)構(gòu)來解析：

1. RPL: bit[1 ~ 0] = 11B，十進(jìn)制就是 3，就表示這個選擇子的請求特權(quán)級別是 3;

   
   

2. TI: bit[2] = 1B，表示到 LDT 中查找段描述符;

   
   

3. 索引號：bit[15 ~ 3] 的索引值為 0，表示到 LDT 中偏移量為 0 (0 = 0 * 4, 每個描述符占據(jù) 4 個字節(jié)) 的位置獲取段描述符;

   
   

當(dāng)處理器進(jìn)行一系列權(quán)限檢查之后，允許進(jìn)入這段代碼中去執(zhí)行，那么就設(shè)置cs = 0x0007。

此時cs寄存器中的最低2位就等于選擇子中的RPL，也就是3。

在一般情況下，CPL都是等于RPL的。

DPL：描述符特權(quán)級

DPL指的是一個段描述符中，用來指定這個描述符所代表的段，具有什么樣的特權(quán)級別。

關(guān)于描述符的結(jié)構(gòu)，如下圖所示：

bit[14 ~ 13]就表示這個段描述符的特權(quán)級別。

當(dāng)請求訪問一個段時(不論是數(shù)據(jù)段，還是代碼段)，處理器在GDT或者LDT中找到段描述符之后，就會把CPL、RPL與描述符中的DPL進(jìn)行比較。只有滿足一定的規(guī)則，才允許訪問這個描述符所指向的那個段。

具體的比較規(guī)則，下文有描述。

RPL：請求者特權(quán)級

剛才的CPL內(nèi)容中，已經(jīng)描述了RPL是什么東西，它倆是密切相關(guān)的。

但是，有時候 CPL 與 RPL 并不相同。

比如：

一個用戶程序，想通過操作系統(tǒng)提供的系統(tǒng)函數(shù)，去訪問內(nèi)存中的一塊用戶程序自己的內(nèi)存空間(數(shù)據(jù)段)。

用戶程序需要告訴操作系統(tǒng)：訪問哪一個數(shù)據(jù)段，偏移量是多少。

這些信息需要把一個選擇子通過操作系統(tǒng)來賦值給數(shù)據(jù)段寄存器 ds。

假設(shè)選擇子是0x000F(二進(jìn)制：0000_0000_0000_1111):

索引號：1;

TI: 使用 LDT;

RPL: 3;

也就是說：當(dāng)操作系統(tǒng)接受用戶程序的請求之后，開始執(zhí)行系統(tǒng)函數(shù)時，此時的CPL是操作系統(tǒng)的特權(quán)級別0。

此時操作系統(tǒng)需要把一個選擇子賦值給數(shù)據(jù)段寄存器 ds，而這個選擇子是由用戶程序作為參數(shù)傳遞給操作系統(tǒng)的。

在這個場景中：CPL = 0, RPL = 3，它倆就不相等。

操作系統(tǒng)用這個選擇子0x000F到用戶程序的LDT中，根據(jù)索引號1找到數(shù)據(jù)段描述符之后，把CPL(0)、RPL(3)與描述符中的DPL進(jìn)行比較，來判斷是否有權(quán)限訪問這個數(shù)據(jù)段。

1. 用戶程序的數(shù)據(jù)段 DPL 一定是 3，這是由操作系統(tǒng)在加載程序之初就決定好的;

   
   

2. 根據(jù)下文的特權(quán)級檢查規(guī)則，這樣的訪問是允許的;

   
   

其實(shí)這里有一個隱患：

假如用戶程序是一個惡意程序，它想破壞操作系統(tǒng)的數(shù)據(jù)，于是就傳入一個指向操作系統(tǒng)數(shù)段的選擇子：0x0010(二進(jìn)制：0000_0000_0001_0000)：

索引號：2(假設(shè)通過其它途徑，知道操作系統(tǒng)的某個數(shù)據(jù)段位于 GDT 的第 2 個表項(xiàng));

TI: 使用 GDT;

RPL: 0;

此時，如果操作系統(tǒng)很無腦的就原樣接收了用戶程序的調(diào)用請求，就會通過GDT找到屬于操作系統(tǒng)的數(shù)據(jù)段進(jìn)行破壞性操作。

操作系統(tǒng)不會這么傻的，它在接收用戶程序請求的時候，會嚴(yán)格檢查用戶程序傳入的參數(shù)。

如果它發(fā)現(xiàn)運(yùn)行在3 特權(quán)級的用戶程序，傳入一個0 特權(quán)級的 RPL，就會警覺：請求特權(quán)級竟然比你自己的運(yùn)行特權(quán)級還高，你想干什么？

于是，操作系統(tǒng)就會把選擇子中的RPL修改為用戶程序的當(dāng)前特權(quán)級CPL。

就好比：一個村長去找市長辦事，訴求是：想在自己村的集體土地上蓋一座廠房。市長認(rèn)為：這是你們村自己的土地，你可以隨便折騰，準(zhǔn)許。

但是，如果村長的訴求是：想在市民廣場的旁邊蓋一座廠房。此時市長就會呵斥：這個地方不是你們村的一畝三分地，想干啥就干啥，滾開！

特權(quán)級檢查規(guī)則

代碼段的特權(quán)級檢查

一般情況下，只允許兩個特權(quán)級相同的代碼段進(jìn)行轉(zhuǎn)移。

例如：

1. 從用戶程序的一個代碼段(CPL = 3)，跳轉(zhuǎn)到另一個 DPL = 3 的代碼段;

   
   

2. 從操作系統(tǒng)的一個代碼段(CPL = 0)，跳轉(zhuǎn)到另一個 DPL = 0 的代碼段;

   
   

但是處理器也提供了一些特殊途徑，讓低特權(quán)級的代碼可以轉(zhuǎn)移到高特權(quán)級的代碼中去執(zhí)行：

1. 如果在高特權(quán)級代碼段描述中的 TYPE 字段中，C = 1，就允許低特權(quán)級的代碼轉(zhuǎn)移進(jìn)來;

   
   

2. 通過調(diào)用門，低特權(quán)級代碼也可以轉(zhuǎn)移到高特權(quán)級的代碼段;

   
   

這里主要描述第一種情況，也就是當(dāng)目標(biāo)代碼段描述符的TYPE字段中C = 1，也就是所謂的依從代碼，或者一致性代碼。

也即是說：如果TYPE.C = 1，那么處理器就允許：比這個描述符的 DPL 更低特權(quán)級的代碼，轉(zhuǎn)移到這個代碼中來執(zhí)行。

在數(shù)值上就是：（特權(quán)級越低，數(shù)值越大)

CPL >= DPL

RPL >= DPL

例如：操作系統(tǒng)中有2個代碼段，它們的描述符中的C標(biāo)志位不同：

此刻正在執(zhí)行一個用戶程序:CPL = 3。

那么用戶程序就可以轉(zhuǎn)移到代碼段 2中去執(zhí)行，不可以轉(zhuǎn)移到代碼 1中。

并且，轉(zhuǎn)移到操作系統(tǒng)的代碼段2 之后，當(dāng)前特權(quán)級CPL保持不變，仍然為3。

有兩個類比：

1. 類似于 Linux 中的 sudo 指令

如果一條指令需要root權(quán)限，我們可以使用su -指令，把身份轉(zhuǎn)換到root，然后再去執(zhí)行。

此時所有的身份、環(huán)境變量等信息，都是root用戶的。

我們還可以直接使用sudo指令，這時就相當(dāng)于是臨時提升了用戶的權(quán)限，但是那些環(huán)境變量等信息，依然是當(dāng)前用戶的，而不是 root 用戶的。

2. 村長找市長辦貸款

村長去市里的銀行申請貸款，但是自己的權(quán)力不夠，銀行不鳥他，于是村長就去找市長幫忙。

于是，市長就給村長一個親筆介紹信，村長帶著這封信到銀行之后，銀行一看：有市長大人的背書，于是就給村長辦理貸款手續(xù)了。

但是，在辦理手續(xù)的過程中，所有需要簽字的地方，只能寫村長自己(特權(quán)級不變)，而不能寫市長的名字。

另外，對于上圖中的代碼段1，由于其C標(biāo)志位是0，只能允許相同特權(quán)級的程序轉(zhuǎn)移進(jìn)來，從數(shù)值上表示就是：

CPL == DPL

RPL == DPL

最后還有一點(diǎn)需要記?。?span>高特權(quán)級的代碼，永遠(yuǎn)都不能轉(zhuǎn)移到低特權(quán)級的代碼。就好比：市長永遠(yuǎn)都不會以村長的身份去辦事。

數(shù)據(jù)段的特權(quán)級檢查

數(shù)據(jù)段的特權(quán)級檢查規(guī)則比較簡單：高特權(quán)級的程序，可以訪問低特權(quán)級的數(shù)據(jù)，反之不可以。

從數(shù)值上表示就是：

CPL <= DPL

RPL <= DPL

棧段的特權(quán)級檢查

棧段的特權(quán)級檢查規(guī)則，也比較簡單，x86處理器要求當(dāng)前特權(quán)級 CPL 必須與目標(biāo)棧段的 DPL 相同。

從數(shù)值上表示就是：

CPL == DPL

RPL == DPL

為了滿足這個要求，當(dāng)從用戶程序(CPL = 3)轉(zhuǎn)移到操作系統(tǒng)(DPL = 0)時，如果是通過依存(一致性)代碼段轉(zhuǎn)移進(jìn)去，當(dāng)前特權(quán)級是不變的，此時使用的棧仍然是用戶程序的?？臻g。

如果是通過其他途徑轉(zhuǎn)移進(jìn)去(eg: 調(diào)用門)，當(dāng)前特權(quán)級發(fā)生了變化(CPL = 0)，此時使用的棧就必須是 0 特權(quán)級下的?？臻g了。

因此，操作系統(tǒng)在加載這個用戶程序的時候，就需要提前申請一塊?？臻g，以準(zhǔn)備在以上這樣的場景中使用。

在Linux系統(tǒng)中，只用了0 和 3這兩個特權(quán)級，因此每一個用戶程序只需要提前準(zhǔn)備好0特權(quán)級下使用的棧就可以了。

如果一個操作系統(tǒng)使用了0 ~ 3所有的四個特權(quán)級，那么操作系統(tǒng)就必須為：運(yùn)行在3特權(quán)級下的用戶程序準(zhǔn)備3個?？臻g，用于該用戶程序轉(zhuǎn)移到特權(quán)級0、1、2下作為棧空間來使用。

------ End ------
這篇文章主要從特權(quán)級的角度，來理解操作系統(tǒng)對系統(tǒng)的保護(hù)。

在這樣的機(jī)制下，操作系統(tǒng)很好的保護(hù)了系統(tǒng)不被惡意程序破壞，同時也為用戶程序的執(zhí)行提供了一些通道，來調(diào)用更底層的功能。