目錄

CPL:當前特權級

DPL:描述符特權級

RPL:請求者特權級

特權級檢查規則

代碼段的檢查規則

數據段的檢查規則

棧段的檢查規則

x86 處理器中,提供了4個特權級別:0,1,2,3。數字越小,特權級別越高!

一般來說,操作系統是的重要性、可靠性是最高的,需要運行在 0 特權級;

應用程序工作在最上層,來源廣泛、可靠性最低,工作在 3 特權級別。

中間的1 和 2 兩個特權級別,一般很少使用。

理論上來講,可以把那些可靠性介于操作系統和應用程序之間的程序安排在這兩個特權級上。

在處理器中,有3個相關的術語與特權級密切相關:

CPL: Current Privilege Level 當前特權級;

DPL: Descriptor Privilege Level 描述符特權級;

RPL: Requestor Privilege Level 請求特權級;

理解了這3個特權級的保護規則,就理解了操作系統保護系統的終極密碼!

CPL:當前特權級

當前特權級,是指當前正在執行的代碼的特權級別,它由當前正在執行的代碼段寄存器cs中的bit[1 ～ 0]來決定:

cs 寄存器中的最低兩位怎么寫的是 RPL?

原因是這樣的:我們在執行一段代碼之前,這段代碼位于內存中的一段空間中,而它的代碼段描述符位于LDT局部描述符表中,如下圖所示:

假設現在想進入這個代碼段中執行,那么我們就需要給代碼段寄存器 cs 賦值為:0x0007 (0000_0000_0000_0111)。

此時cs寄存器中當前內容的低兩位就稱作:當前優先級,而準備賦值給cs的值是 0x0007,這個0x0007就稱作選擇子。

按照選擇子的結構來解析:

RPL: bit[1 ～ 0] = 11B,十進制就是 3,就表示這個選擇子的請求特權級別是 3;

TI: bit[2] = 1B,表示到 LDT 中查找段描述符;

索引號:bit[15 ～ 3] 的索引值為 0,表示到 LDT 中偏移量為 0 (0 = 0 * 4, 每個描述符占據 4 個字節) 的位置獲取段描述符;

當處理器進行一系列權限檢查之后,允許進入這段代碼中去執行,那么就設置 cs = 0x0007。

此時cs寄存器中的最低2位就等于選擇子中的 RPL,也就是 3。

在一般情況下,CPL都是等于RPL的。

DPL:描述符特權級

DPL 指的是一個段描述符中,用來指定這個描述符所代表的段,具有什么樣的特權級別。

關于描述符的結構,如下圖所示:

bit[14 ～ 13]就表示這個段描述符的特權級別。

當請求訪問一個段時(不論是數據段,還是代碼段),處理器在GDT或者LDT中找到段描述符之后,就會把CPL、RPL與描述符中的 DPL 進行比較。只有滿足一定的規則,才允許訪問這個描述符所指向的那個段。

具體的比較規則,下文有描述。

RPL:請求者特權級

剛才的CPL內容中,已經描述了RPL是什么東西,它倆是密切相關的。

但是,有時候 CPL 與 RPL 并不相同。

比如:

一個用戶程序,想通過操作系統提供的系統函數,去訪問內存中的一塊用戶程序自己的內存空間(數據段)。

用戶程序需要告訴操作系統:訪問哪一個數據段,偏移量是多少。

這些信息需要把一個選擇子通過操作系統來賦值給數據段寄存器 ds。

假設選擇子是 0x000F(二進制:0000_0000_0000_1111):

索引號:1;

TI: 使用 LDT;

RPL: 3;

也就是說:當操作系統接受用戶程序的請求之后,開始執行系統函數時,此時的CPL是操作系統的特權級別 0。

此時操作系統需要把一個選擇子賦值給數據段寄存器 ds,而這個選擇子是由用戶程序作為參數傳遞給操作系統的。

在這個場景中:CPL = 0, RPL = 3,它倆就不相等。

操作系統用這個選擇子0x000F到用戶程序的LDT中,根據索引號1找到數據段描述符之后,把CPL(0)、RPL(3)與描述符中的 DPL 進行比較,來判斷是否有權限訪問這個數據段。

用戶程序的數據段 DPL 一定是 3,這是由操作系統在加載程序之初就決定好的;

根據下文的特權級檢查規則,這樣的訪問是允許的;

其實這里有一個隱患:

假如用戶程序是一個惡意程序,它想破壞操作系統的數據,于是就傳入一個指向操作系統數段的選擇子:0x0010(二進制:0000_0000_0001_0000):

索引號:2(假設通過其它途徑,知道操作系統的某個數據段位于 GDT 的第 2 個表項);

TI: 使用 GDT;

RPL: 0;

此時,如果操作系統很無腦的就原樣接收了用戶程序的調用請求,就會通過GDT找到屬于操作系統的數據段進行破壞性操作。

操作系統不會這么傻的,它在接收用戶程序請求的時候,會嚴格檢查用戶程序傳入的參數。

如果它發現運行在 3 特權級的用戶程序,傳入一個 0 特權級的 RPL,就會警覺:請求特權級竟然比你自己的運行特權級還高,你想干什么?

于是,操作系統就會把選擇子中的RPL修改為用戶程序的當前特權級 CPL。

就好比:一個村長去找市長辦事,訴求是:想在自己村的集體土地上蓋一座廠房。市長認為:這是你們村自己的土地,你可以隨便折騰,準許。

但是,如果村長的訴求是:想在市民廣場的旁邊蓋一座廠房。此時市長就會呵斥:這個地方不是你們村的一畝三分地,想干啥就干啥,滾開!

特權級檢查規則 代碼段的特權級檢查

一般情況下,只允許兩個特權級相同的代碼段進行轉移。

例如:

從用戶程序的一個代碼段(CPL = 3),跳轉到另一個 DPL = 3 的代碼段;

從操作系統的一個代碼段(CPL = 0),跳轉到另一個 DPL = 0 的代碼段;

但是處理器也提供了一些特殊途徑,讓低特權級的代碼可以轉移到高特權級的代碼中去執行:

如果在高特權級代碼段描述中的 TYPE 字段中,C = 1,就允許低特權級的代碼轉移進來;

通過調用門,低特權級代碼也可以轉移到高特權級的代碼段;

這里主要描述第一種情況,也就是當目標代碼段描述符的TYPE字段中 C = 1,也就是所謂的依從代碼,或者一致性代碼。

也即是說:如果 TYPE．C = 1,那么處理器就允許:比這個描述符的 DPL 更低特權級的代碼,轉移到這個代碼中來執行。

在數值上就是:(特權級越低,數值越大)

CPL >= DPL

RPL >= DPL

例如:操作系統中有2個代碼段,它們的描述符中的C標志位不同:

此刻正在執行一個用戶程序: CPL = 3。

那么用戶程序就可以轉移到代碼段 2中去執行,不可以轉移到代碼 1中。

并且,轉移到操作系統的代碼段2 之后,當前特權級CPL保持不變,仍然為 3。

有兩個類比:

1． 類似于 Linux 中的 sudo 指令

如果一條指令需要root權限,我們可以使用su -指令,把身份轉換到 root,然后再去執行。

此時所有的身份、環境變量等信息,都是root用戶的。

我們還可以直接使用sudo指令,這時就相當于是臨時提升了用戶的權限,但是那些環境變量等信息,依然是當前用戶的,而不是 root 用戶的。

2． 村長找市長辦貸款

村長去市里的銀行申請貸款,但是自己的權力不夠,銀行不鳥他,于是村長就去找市長幫忙。

于是,市長就給村長一個親筆介紹信,村長帶著這封信到銀行之后,銀行一看:有市長大人的背書,于是就給村長辦理貸款手續了。

但是,在辦理手續的過程中,所有需要簽字的地方,只能寫村長自己(特權級不變),而不能寫市長的名字。

另外,對于上圖中的代碼段1,由于其C標志位是 0,只能允許相同特權級的程序轉移進來,從數值上表示就是:

CPL == DPL

RPL == DPL

最后還有一點需要記住:高特權級的代碼,永遠都不能轉移到低特權級的代碼。就好比:市長永遠都不會以村長的身份去辦事。

數據段的特權級檢查

數據段的特權級檢查規則比較簡單:高特權級的程序,可以訪問低特權級的數據,反之不可以。

從數值上表示就是:

CPL <= DPL

RPL <= DPL

棧段的特權級檢查

棧段的特權級檢查規則,也比較簡單,x86 處理器要求當前特權級 CPL 必須與目標棧段的 DPL 相同。

從數值上表示就是:

CPL == DPL

RPL == DPL

為了滿足這個要求,當從用戶程序(CPL = 3)轉移到操作系統(DPL = 0)時,如果是通過依存(一致性)代碼段轉移進去,當前特權級是不變的,此時使用的棧仍然是用戶程序的棧空間。

如果是通過其他途徑轉移進去(eg: 調用門),當前特權級發生了變化(CPL = 0),此時使用的棧就必須是 0 特權級下的�？臻g了。

因此,操作系統在加載這個用戶程序的時候,就需要提前申請一塊�？臻g,以準備在以上這樣的場景中使用。

在Linux系統中,只用了0 和 3這兩個特權級,因此每一個用戶程序只需要提前準備好0特權級下使用的棧就可以了。

如果一個操作系統使用了0 ～ 3所有的四個特權級,那么操作系統就必須為:運行在3特權級下的用戶程序準備3個�？臻g,用于該用戶程序轉移到特權級 0、1、2 下作為棧空間來使用。