作  者：道哥，10 年的嵌入式開(kāi)發(fā)老兵，專注于：C/C 、嵌入式、Linux。

關(guān)注下方公眾號(hào)，回復(fù)【書(shū)籍】，獲取 Linux、嵌入式領(lǐng)域經(jīng)典書(shū)籍；回復(fù)【PDF】，獲取所有原創(chuàng)文章( PDF 格式)。

目錄

• CPL：當(dāng)前特權(quán)級(jí)

  
  

• DPL：描述符特權(quán)級(jí)

  
  

• RPL：請(qǐng)求者特權(quán)級(jí)

  
  

• 特權(quán)級(jí)檢查規(guī)則

  
  

• 代碼段的檢查規(guī)則

  
  

• 數(shù)據(jù)段的檢查規(guī)則

  
  

• 棧段的檢查規(guī)則

  
  

• 
  

x86處理器中，提供了4個(gè)特權(quán)級(jí)別：0，1，2，3。數(shù)字越小，特權(quán)級(jí)別越高！

一般來(lái)說(shuō)，操作系統(tǒng)是的重要性、可靠性是最高的，需要運(yùn)行在0 特權(quán)級(jí)；

應(yīng)用程序工作在最上層，來(lái)源廣泛、可靠性最低，工作在3 特權(quán)級(jí)別。

中間的1 和 2兩個(gè)特權(quán)級(jí)別，一般很少使用。

理論上來(lái)講，可以把那些可靠性介于操作系統(tǒng)和應(yīng)用程序之間的程序安排在這兩個(gè)特權(quán)級(jí)上。

在處理器中，有3個(gè)相關(guān)的術(shù)語(yǔ)與特權(quán)級(jí)密切相關(guān)：

1. CPL: Current Privilege Level 當(dāng)前特權(quán)級(jí);

   
   

2. DPL: Descriptor Privilege Level 描述符特權(quán)級(jí);

   
   

3. RPL: Requestor Privilege Level 請(qǐng)求特權(quán)級(jí);

   
   

理解了這3個(gè)特權(quán)級(jí)的保護(hù)規(guī)則，就理解了操作系統(tǒng)保護(hù)系統(tǒng)的終極密碼！

CPL：當(dāng)前特權(quán)級(jí)

當(dāng)前特權(quán)級(jí)，是指當(dāng)前正在執(zhí)行的代碼的特權(quán)級(jí)別，它由當(dāng)前正在執(zhí)行的代碼段寄存器cs中的bit[1 ~ 0]來(lái)決定：

cs寄存器中的最低兩位怎么寫(xiě)的是RPL？

原因是這樣的：我們?cè)趫?zhí)行一段代碼之前，這段代碼位于內(nèi)存中的一段空間中，而它的代碼段描述符位于LDT局部描述符表中，如下圖所示：

假設(shè)現(xiàn)在想進(jìn)入這個(gè)代碼段中執(zhí)行，那么我們就需要給代碼段寄存器 cs賦值為：0x0007 (0000_0000_0000_0111)。

此時(shí)cs寄存器中當(dāng)前內(nèi)容的低兩位就稱作：當(dāng)前優(yōu)先級(jí)，而準(zhǔn)備賦值給cs的值是0x0007，這個(gè)0x0007就稱作選擇子。

按照選擇子的結(jié)構(gòu)來(lái)解析：

1. RPL: bit[1 ~ 0] = 11B，十進(jìn)制就是 3，就表示這個(gè)選擇子的請(qǐng)求特權(quán)級(jí)別是 3;

   
   

2. TI: bit[2] = 1B，表示到 LDT 中查找段描述符;

   
   

3. 索引號(hào)：bit[15 ~ 3] 的索引值為 0，表示到 LDT 中偏移量為 0 (0 = 0 * 4, 每個(gè)描述符占據(jù) 4 個(gè)字節(jié)) 的位置獲取段描述符;

   
   

當(dāng)處理器進(jìn)行一系列權(quán)限檢查之后，允許進(jìn)入這段代碼中去執(zhí)行，那么就設(shè)置cs = 0x0007。

此時(shí)cs寄存器中的最低2位就等于選擇子中的RPL，也就是3。

在一般情況下，CPL都是等于RPL的。

DPL：描述符特權(quán)級(jí)

DPL指的是一個(gè)段描述符中，用來(lái)指定這個(gè)描述符所代表的段，具有什么樣的特權(quán)級(jí)別。

關(guān)于描述符的結(jié)構(gòu)，如下圖所示：

bit[14 ~ 13]就表示這個(gè)段描述符的特權(quán)級(jí)別。

當(dāng)請(qǐng)求訪問(wèn)一個(gè)段時(shí)(不論是數(shù)據(jù)段，還是代碼段)，處理器在GDT或者LDT中找到段描述符之后，就會(huì)把CPL、RPL與描述符中的DPL進(jìn)行比較。只有滿足一定的規(guī)則，才允許訪問(wèn)這個(gè)描述符所指向的那個(gè)段。

具體的比較規(guī)則，下文有描述。

RPL：請(qǐng)求者特權(quán)級(jí)

剛才的CPL內(nèi)容中，已經(jīng)描述了RPL是什么東西，它倆是密切相關(guān)的。

但是，有時(shí)候 CPL 與 RPL 并不相同。

比如：

一個(gè)用戶程序，想通過(guò)操作系統(tǒng)提供的系統(tǒng)函數(shù)，去訪問(wèn)內(nèi)存中的一塊用戶程序自己的內(nèi)存空間(數(shù)據(jù)段)。

用戶程序需要告訴操作系統(tǒng)：訪問(wèn)哪一個(gè)數(shù)據(jù)段，偏移量是多少。

這些信息需要把一個(gè)選擇子通過(guò)操作系統(tǒng)來(lái)賦值給數(shù)據(jù)段寄存器 ds。

假設(shè)選擇子是0x000F(二進(jìn)制：0000_0000_0000_1111):

索引號(hào)：1;

TI: 使用 LDT;

RPL: 3;

也就是說(shuō)：當(dāng)操作系統(tǒng)接受用戶程序的請(qǐng)求之后，開(kāi)始執(zhí)行系統(tǒng)函數(shù)時(shí)，此時(shí)的CPL是操作系統(tǒng)的特權(quán)級(jí)別0。

此時(shí)操作系統(tǒng)需要把一個(gè)選擇子賦值給數(shù)據(jù)段寄存器 ds，而這個(gè)選擇子是由用戶程序作為參數(shù)傳遞給操作系統(tǒng)的。

在這個(gè)場(chǎng)景中：CPL = 0, RPL = 3，它倆就不相等。

操作系統(tǒng)用這個(gè)選擇子0x000F到用戶程序的LDT中，根據(jù)索引號(hào)1找到數(shù)據(jù)段描述符之后，把CPL(0)、RPL(3)與描述符中的DPL進(jìn)行比較，來(lái)判斷是否有權(quán)限訪問(wèn)這個(gè)數(shù)據(jù)段。

1. 用戶程序的數(shù)據(jù)段 DPL 一定是 3，這是由操作系統(tǒng)在加載程序之初就決定好的;

   
   

2. 根據(jù)下文的特權(quán)級(jí)檢查規(guī)則，這樣的訪問(wèn)是允許的;

   
   

其實(shí)這里有一個(gè)隱患：

假如用戶程序是一個(gè)惡意程序，它想破壞操作系統(tǒng)的數(shù)據(jù)，于是就傳入一個(gè)指向操作系統(tǒng)數(shù)段的選擇子：0x0010(二進(jìn)制：0000_0000_0001_0000)：

索引號(hào)：2(假設(shè)通過(guò)其它途徑，知道操作系統(tǒng)的某個(gè)數(shù)據(jù)段位于 GDT 的第 2 個(gè)表項(xiàng));

TI: 使用 GDT;

RPL: 0;

此時(shí)，如果操作系統(tǒng)很無(wú)腦的就原樣接收了用戶程序的調(diào)用請(qǐng)求，就會(huì)通過(guò)GDT找到屬于操作系統(tǒng)的數(shù)據(jù)段進(jìn)行破壞性操作。

操作系統(tǒng)不會(huì)這么傻的，它在接收用戶程序請(qǐng)求的時(shí)候，會(huì)嚴(yán)格檢查用戶程序傳入的參數(shù)。

如果它發(fā)現(xiàn)運(yùn)行在3 特權(quán)級(jí)的用戶程序，傳入一個(gè)0 特權(quán)級(jí)的 RPL，就會(huì)警覺(jué)：請(qǐng)求特權(quán)級(jí)竟然比你自己的運(yùn)行特權(quán)級(jí)還高，你想干什么？

于是，操作系統(tǒng)就會(huì)把選擇子中的RPL修改為用戶程序的當(dāng)前特權(quán)級(jí)CPL。

就好比：一個(gè)村長(zhǎng)去找市長(zhǎng)辦事，訴求是：想在自己村的集體土地上蓋一座廠房。市長(zhǎng)認(rèn)為：這是你們村自己的土地，你可以隨便折騰，準(zhǔn)許。

但是，如果村長(zhǎng)的訴求是：想在市民廣場(chǎng)的旁邊蓋一座廠房。此時(shí)市長(zhǎng)就會(huì)呵斥：這個(gè)地方不是你們村的一畝三分地，想干啥就干啥，滾開(kāi)！

特權(quán)級(jí)檢查規(guī)則

代碼段的特權(quán)級(jí)檢查

一般情況下，只允許兩個(gè)特權(quán)級(jí)相同的代碼段進(jìn)行轉(zhuǎn)移。

例如：

1. 從用戶程序的一個(gè)代碼段(CPL = 3)，跳轉(zhuǎn)到另一個(gè) DPL = 3 的代碼段;

   
   

2. 從操作系統(tǒng)的一個(gè)代碼段(CPL = 0)，跳轉(zhuǎn)到另一個(gè) DPL = 0 的代碼段;

   
   

但是處理器也提供了一些特殊途徑，讓低特權(quán)級(jí)的代碼可以轉(zhuǎn)移到高特權(quán)級(jí)的代碼中去執(zhí)行：

1. 如果在高特權(quán)級(jí)代碼段描述中的 TYPE 字段中，C = 1，就允許低特權(quán)級(jí)的代碼轉(zhuǎn)移進(jìn)來(lái);

   
   

2. 通過(guò)調(diào)用門(mén)，低特權(quán)級(jí)代碼也可以轉(zhuǎn)移到高特權(quán)級(jí)的代碼段;

   
   

這里主要描述第一種情況，也就是當(dāng)目標(biāo)代碼段描述符的TYPE字段中C = 1，也就是所謂的依從代碼，或者一致性代碼。

也即是說(shuō)：如果TYPE.C = 1，那么處理器就允許：比這個(gè)描述符的 DPL 更低特權(quán)級(jí)的代碼，轉(zhuǎn)移到這個(gè)代碼中來(lái)執(zhí)行。

在數(shù)值上就是：（特權(quán)級(jí)越低，數(shù)值越大)

CPL >= DPL

RPL >= DPL

例如：操作系統(tǒng)中有2個(gè)代碼段，它們的描述符中的C標(biāo)志位不同：

此刻正在執(zhí)行一個(gè)用戶程序:CPL = 3。

那么用戶程序就可以轉(zhuǎn)移到代碼段 2中去執(zhí)行，不可以轉(zhuǎn)移到代碼 1中。

并且，轉(zhuǎn)移到操作系統(tǒng)的代碼段2 之后，當(dāng)前特權(quán)級(jí)CPL保持不變，仍然為3。

有兩個(gè)類比：

1. 類似于 Linux 中的 sudo 指令

如果一條指令需要root權(quán)限，我們可以使用su -指令，把身份轉(zhuǎn)換到root，然后再去執(zhí)行。

此時(shí)所有的身份、環(huán)境變量等信息，都是root用戶的。

我們還可以直接使用sudo指令，這時(shí)就相當(dāng)于是臨時(shí)提升了用戶的權(quán)限，但是那些環(huán)境變量等信息，依然是當(dāng)前用戶的，而不是 root 用戶的。

2. 村長(zhǎng)找市長(zhǎng)辦貸款

村長(zhǎng)去市里的銀行申請(qǐng)貸款，但是自己的權(quán)力不夠，銀行不鳥(niǎo)他，于是村長(zhǎng)就去找市長(zhǎng)幫忙。

于是，市長(zhǎng)就給村長(zhǎng)一個(gè)親筆介紹信，村長(zhǎng)帶著這封信到銀行之后，銀行一看：有市長(zhǎng)大人的背書(shū)，于是就給村長(zhǎng)辦理貸款手續(xù)了。

但是，在辦理手續(xù)的過(guò)程中，所有需要簽字的地方，只能寫(xiě)村長(zhǎng)自己(特權(quán)級(jí)不變)，而不能寫(xiě)市長(zhǎng)的名字。

另外，對(duì)于上圖中的代碼段1，由于其C標(biāo)志位是0，只能允許相同特權(quán)級(jí)的程序轉(zhuǎn)移進(jìn)來(lái)，從數(shù)值上表示就是：

CPL == DPL

RPL == DPL

最后還有一點(diǎn)需要記?。?span>高特權(quán)級(jí)的代碼，永遠(yuǎn)都不能轉(zhuǎn)移到低特權(quán)級(jí)的代碼。就好比：市長(zhǎng)永遠(yuǎn)都不會(huì)以村長(zhǎng)的身份去辦事。

數(shù)據(jù)段的特權(quán)級(jí)檢查

數(shù)據(jù)段的特權(quán)級(jí)檢查規(guī)則比較簡(jiǎn)單：高特權(quán)級(jí)的程序，可以訪問(wèn)低特權(quán)級(jí)的數(shù)據(jù)，反之不可以。

從數(shù)值上表示就是：

CPL <= DPL

RPL <= DPL

棧段的特權(quán)級(jí)檢查

棧段的特權(quán)級(jí)檢查規(guī)則，也比較簡(jiǎn)單，x86處理器要求當(dāng)前特權(quán)級(jí) CPL 必須與目標(biāo)棧段的 DPL 相同。

從數(shù)值上表示就是：

CPL == DPL

RPL == DPL

為了滿足這個(gè)要求，當(dāng)從用戶程序(CPL = 3)轉(zhuǎn)移到操作系統(tǒng)(DPL = 0)時(shí)，如果是通過(guò)依存(一致性)代碼段轉(zhuǎn)移進(jìn)去，當(dāng)前特權(quán)級(jí)是不變的，此時(shí)使用的棧仍然是用戶程序的?？臻g。

如果是通過(guò)其他途徑轉(zhuǎn)移進(jìn)去(eg: 調(diào)用門(mén))，當(dāng)前特權(quán)級(jí)發(fā)生了變化(CPL = 0)，此時(shí)使用的棧就必須是 0 特權(quán)級(jí)下的?？臻g了。

因此，操作系統(tǒng)在加載這個(gè)用戶程序的時(shí)候，就需要提前申請(qǐng)一塊?？臻g，以準(zhǔn)備在以上這樣的場(chǎng)景中使用。

在Linux系統(tǒng)中，只用了0 和 3這兩個(gè)特權(quán)級(jí)，因此每一個(gè)用戶程序只需要提前準(zhǔn)備好0特權(quán)級(jí)下使用的棧就可以了。

如果一個(gè)操作系統(tǒng)使用了0 ~ 3所有的四個(gè)特權(quán)級(jí)，那么操作系統(tǒng)就必須為：運(yùn)行在3特權(quán)級(jí)下的用戶程序準(zhǔn)備3個(gè)?？臻g，用于該用戶程序轉(zhuǎn)移到特權(quán)級(jí)0、1、2下作為?？臻g來(lái)使用。

------ End ------
這篇文章主要從特權(quán)級(jí)的角度，來(lái)理解操作系統(tǒng)對(duì)系統(tǒng)的保護(hù)。

在這樣的機(jī)制下，操作系統(tǒng)很好的保護(hù)了系統(tǒng)不被惡意程序破壞，同時(shí)也為用戶程序的執(zhí)行提供了一些通道，來(lái)調(diào)用更底層的功能。