中断处理

玻尔百科

核心要点

中断是暂停程序的异步信号，要求系统完美地保存和恢复其状态，以确保操作的透明性。
分离式处理程序模型将工作分为快速的“上半部”和可延迟的“下半部”，是最小化系统延迟和确保响应性的关键设计模式。
在多核和实时系统中，使用中断禁用和内存屏障进行复杂的同步对于防止死锁和数据损坏至关重要。
中断处理机制的设计对实时应用中的系统可预测性以及对安全威胁的脆弱性有着深远的影响。

引言

中断处理是允许计算机中央处理器（CPU）响应不可预测的外部事件世界的基本机制。它是支撑所有现代响应式计算的无形神经系统，使单个处理器能够在无缝运行应用程序的同时，处理网络流量、用户输入和磁盘操作。然而，这种能力也带来了一个巨大的挑战：系统如何处理这些持续不断的异步需求，而又不损坏其正在执行的程序？回答这个问题揭示了定义现代操作系统的硬件和软件之间错综复杂的协作关系。

本文将深入探讨中断处理的世界，探索其基本原理和深远影响。首先，在“原理与机制”一章中，我们将剖析中断的核心机制。我们将研究 CPU 如何保存状态、在用户模式和内核模式之间转换，以及如何应对嵌套中断、同步和实时截止期限等复杂情况。随后，“应用与跨学科联系”一章将拓宽我们的视野，揭示这些底层机制如何实现高性能网络、保证实时系统的安全性、促进多核处理器中的通信，甚至在虚拟化和系统安全领域开创新的前沿。

原理与机制

想象一下你正全神贯注地解决一个难题，你的整个世界都聚焦于这一项任务。突然，电话响了。你会怎么做？你不会简单地把拼图碎片扔到空中。相反，你会本能地执行一个精细而精确的流程。你标记好自己的位置，或许记下你最后一个绝妙的想法，然后才将注意力转向电话。通话结束后，你回到你的难题前，由于你仔细地“保存了上下文”，你可以准确地从你离开的地方接续你的思路。

这本质上就是一台计算机的中央处理器（CPU）的日常。这个难题就是你的程序——你的网页浏览器、你的游戏、你的代码编辑器。电话铃声则是一次硬件中断：一个来自外部世界，来自如键盘、网卡或系统计时器等设备的异步、不可预测的信号，要求 CPU 立即关注。所有现代计算中精妙而复杂的协作都取决于系统如何处理这些中断。

首要原则：完全透明

中断，就其本质而言，是一个不礼貌的事件。它不会等待你的程序到达一个方便的停止点。它会强行闯入。处理中断的第一条也是最神圣的规则是，被中断的程序必须对这次中断完全无感知。当 CPU 返回到该程序时，它的状态——寄存器的内容、标志位、在代码中的位置——必须被完美地恢复，就好像什么都没发生过一样。

这一透明性原则带来了一个有趣的后果。在正常的、预先安排的函数调用中，程序员遵循一种约定（应用程序二进制接口，即 ABI），将寄存器分为两组：“调用者保存”和“被调用者保存”。调用者知道它可能会丢失调用者保存寄存器中的值，如果这些值很重要，就必须自己保存它们。而被调用者则承诺会保留被调用者保存的寄存器。但这是互相协作的代码片段之间的礼貌协议。中断不是一个礼貌的函数调用；它是一次劫持。被中断的代码没有“调用者”可以为这个事件做准备。因此，中断服务程序（ISR）——那个“接电话”的特殊代码——承担了全部责任。它必须一丝不苟地保存它打算使用的每一个寄存器，并在返回前完美地恢复它们，无论任何 ABI 约定如何。否则，就像一个窃贼闯入你家，用了你的工具，然后把它们扔得满地都是；房子已不再是你离开时的状态了。

并行的幻觉

当中断发生时，感觉就像计算机在同时做两件事：运行你的程序和处理设备。但真的是这样吗？让我们像物理学家一样精确地区分并发（concurrency）和并行（parallelism）。并行是一种硬件现实：它需要多个物理执行单元，比如两个或更多的 CPU 核心，在完全相同的瞬间执行工作。并发是一种逻辑上的幻觉：它是通过在单个核心上快速交错执行不同任务来实现的同时处理的表象。

在一台只有一个 CPU 核心的计算机上，中断创造的是并发，而不是并行。当 ISR 运行时，用户程序是完全暂停的。它们的生命周期重叠，并且它们在共享的时间段内都取得了进展，但绝不是在同一时刻。这是一个至关重要的见解。如果一个任务被中断，完成它所需的总时间总是会更长，因为 CPU 的时间是一种有限的资源，现在必须被共享。一个需要 $6.2$ 毫秒（ms）CPU 时间的计算，如果被一个总共使用 $0.9$ ms 的 ISR 中断三次，可能需要 $7.1$ ms 的墙钟时间才能完成。处理中断所花费的时间就是“开销”，是我们为一个能够响应外部世界的系统所付出的代价。

秘密通道：进入内核之旅

那么，CPU 究竟是如何实现这种暂停一个世界并进入另一个世界的魔术呢？这不是一个简单的函数调用；这是一次穿越受保护边界的旅程，从不受信任的用户模式平原到固若金汤的内核模式城堡。CPU 硬件本身充当着守卫。

当你的程序需要操作系统提供服务时——比如读取一个文件——它会执行一个特殊的指令，通常称为 syscall。这是一个故意的、同步的进入内核的请求。硬件立即行动起来。它检查请求，将特权级从用户（比如在 x86-64 上是 CPL=3）切换到内核（CPL=0），最关键的是，它切换堆栈。它从一个特殊的寄存器（如任务状态段，TSS）中找到一个预先指定的、可信的内核栈的地址，并开始使用它。为什么？因为用户的栈是一个狂野、不受控制的地方。它可能太小、已损坏，甚至可能是为了陷害内核而恶意构造的。内核只能信任自己的私有栈空间。

现在，想象一下情节变得更加复杂：当内核正在处理这个系统调用时，一个硬件中断到来了！CPU 已经处于其最高特权状态（CPL=0）。硬件看到这一点，明白它不需要改变特权级。在许多标准配置中，它只是将当前上下文（被中断的*系统调用处理程序的状态）推送到同一个内核栈*上，然后跳转到 ISR。ISR 完成后返回，系统调用处理程序就像从未被暂停过一样继续执行。只有当最初的系统调用完成后，CPU 才会执行完整的返回旅程：将特权级切换回用户模式，并恢复用户程序的原始栈，让它继续自己的生命，对刚刚发生的嵌套戏剧毫不知情。

管理洪流：信号与锁存器

如果中断可以在任何时候到达，我们需要一种健壮的方式来管理它们。工程师们设计了两种主要的信号方案，每种方案都有其自身的特点和挑战。

边沿触发中断就像按一次门铃。信号是一个瞬间的脉冲。系统需要“记住”按钮被按下了，即使它因为太忙而无法立即响应（例如，如果中断被暂时禁用）。电平触发中断就像按住门铃不放。信号会一直保持激活状态，直到住户（ISR）打开门并处理访客（设备）。

每种设计都带来了自己的难题。对于边沿触发，如果两个事件在系统繁忙时接连快速发生，硬件必须足够智能，不能丢失其中一个“边沿”。它需要一个内部锁存器来记录有中断正在挂起。对于电平触发，软件有一个关键的责任：它必须在告诉中断控制器它已完成之前，命令设备停止发出信号。如果它不这样做，控制器会看到信号仍然是激活的，并立即再次中断 CPU，导致一个使系统冻结的无限循环——即“活锁”。一个健壮的系统结合了巧妙的硬件（比如即使中断被屏蔽也能工作的挂起事件锁存器）和有纪律的软件（比如在发出中断结束信号之前在设备端清除中断原因），以优雅地处理所有情况 [@problem_d:3640523]。

紧急程度的层次结构：分离式处理程序

一个执行大量工作的单一、庞大的 ISR 是一个糟糕的设计。当它运行时，它通常必须禁用其他中断以保护自己的数据，这使得系统对外界“失聪”。解决方案是一种精妙的分工，即分离式处理程序模型。

上半部（或硬中断 IRQ）： 这是突击队。它是最先运行的代码，其工作是尽快完成绝对必要的最少量任务。它在一个高度特权、非阻塞的上下文中运行，通常禁用其他中断。它的任务是：响应硬件，或许从设备寄存器中抓取一个字节的数据，打包任何后续工作，然后离开。它就像事故现场的急救人员：稳定伤情并推迟后续处理。
下半部（或延迟工作）： 这是医院的工作人员。上半部调度下半部稍后在中断被重新启用的、限制较少的上下文中运行。这里是进行繁重工作的地方：处理网络数据包、将数据写入文件等。这项工作可以通过软中断（softirqs）（用于快速、非阻塞的任务）或工作队列（work queues）（用于可能需要睡眠的更长任务）等机制来完成。

这种分层设计是一种巧妙的折中方案。它最小化了系统“失聪”（中断被禁用）的时间，确保了高优先级事件的低延迟，同时允许进行复杂的、无限制的处理，而不会使整个机器停顿。

致命的拥抱：同步与死锁

这个优雅的系统隐藏着一个致命的陷阱。如果一个数据必须在下半部（在正常线程上下文中运行）和上半部（在中断处理程序中运行）之间共享，会发生什么？很自然地，我们使用一个锁，比如自旋锁，来保护它。

现在，在单核 CPU 上考虑这个场景：一个线程获取了自旋锁。就在那时，一个硬件中断发生。CPU 尽职地暂停该线程并跳转到 ISR。ISR 需要同样的数据，现在尝试获取这个自旋锁。但是锁已经被 ISR 刚刚中断的那个线程持有了！ISR 将会自旋，等待锁被释放。但是该线程永远无法运行以释放锁，因为 ISR 控制着 CPU 并且永远不会放弃它。这就是死锁。CPU 陷入无限循环，系统冻结。

解决方案和问题本身一样致命而优雅。在线程获取自旋锁之前，它必须首先禁用其 CPU 核心上的本地中断。现在，如果一个中断到达，硬件将简单地将其标记为挂起并等待。线程可以安全地进入其临界区，释放锁，然后才重新启用中断。挂起的 ISR 现在可以运行，获取锁，并顺利完成其工作。这个关键的禁用中断/加锁 -> 解锁/启用中断序列是内核线程和中断处理程序之间安全同步的基石。理解这与禁用抢占是不同的至关重要。禁用调度器（preempt_disable()）会阻止其他线程运行，但不会阻止硬件中断，从而为这种死锁敞开了大门。

终极噩梦：栈上加栈

我们已经看到了系统调用内部的中断。那么中断内部的其它中断呢？这被称为嵌套。每次中断发生时，CPU 都必须将其当前状态保存在一个栈上。如果我们使用单个内核栈，一场快速连续的嵌套中断“风暴”可能会耗尽所有可用的栈空间，导致栈溢出。这是一个灾难性的失败，因为溢出的栈会开始破坏内存中紧邻的任何内核数据。

真正可怕的部分是不可屏蔽中断（NMI）。这是一种用于紧急情况（如致命的硬件错误）的中断，根据定义，它不能被禁用。无论我们的中断嵌套有多深，无论我们是否调用了 local_irq_disable()，NMI 都可能在任何时刻发生。它是终极的未知数。

面对这样的威胁，我们怎么可能构建一个可靠的系统呢？答案再次来自于硬件和软件之间精妙的协同设计。像 x86-64 这样的现代架构提供了一个称为中断栈表（IST）的功能。这允许操作系统告诉硬件，“对于某些极其关键的中断，比如 NMI，我希望你使用一个独立的、专用的紧急栈。”现在，当 NMI 发生时，CPU 硬件会自动并即时切换到这个原始的、预先分配的栈。它保证了 NMI 处理程序有一个安全的、固定大小的空间来执行，无论主内核栈有多么混乱或多么接近溢出。这是一个硬件强制执行的安全网，是内核最危险时刻的消防通道。

实时性的要求

最后，让我们考虑这样一些系统，在这些系统中，时机不仅关乎性能，更关乎正确性。在一个实时系统——汽车的刹车控制器、医疗设备、工厂机器人——中，任务必须在其截止期限前完成。

从设备事件发生到其相应任务完成的总时间，即其响应时间（ $R$ ），是我们讨论过的所有小延迟的总和：中断被屏蔽的时间（ $T_{\mathrm{mask}}$ ）、等待更高优先级 ISR 完成的时间（ $T_{\mathrm{nest}}$ ）、硬件进入时间（ $T_{\mathrm{entry}}$ ）、ISR 自身的服务时间（ $T_{\mathrm{svc}}$ ）、切换到主任务的上下文切换时间（ $T_{\mathrm{cs}}$ ），以及最后任务自身的执行时间（ $C$ ）。

为了保证安全，我们必须确保 $R \le D$ ，其中 $D$ 是截止期限。 $T_{\mathrm{mask}} + T_{\mathrm{nest}} + T_{\mathrm{preempt}} + T_{\mathrm{entry}} + T_{\mathrm{svc}} + T_{\mathrm{cs}} + C \le D$ 这个简单的不等式极其强大。通过测量或限定所有其他延迟，我们可以求解出软件开发者最能直接控制的一项：我们被允许保持中断屏蔽的最长时间。如果一个系统要求一个任务在 $240$ 微秒内完成，而所有其他延迟加起来是 $221.4$ 微秒，那么我们就知道我们用于任何禁用中断的临界区的预算仅为 $18.6$ 微秒。超过这个预算不仅会使系统变慢；它会使系统变得不正确，并可能不安全。

从暂停一个任务的简单动作，到嵌套、优先和同步处理程序的复杂协作，中断处理机制揭示了硬件和软件之间的深厚伙伴关系。这是一个受控混乱的系统，建立在多层抽象和保护之上，允许一个单一、有条不紊的处理器给人一种无处不在的错觉，专注地服务于一个充满异步需求的世界。

应用与跨学科联系

在我们之前的讨论中，我们揭示了中断的基本机制。我们视其为计算机的神经系统，是中央处理器对异步事件世界作出反应的一种优雅机制。其思想简单而深刻：放下手头的工作，关注更紧急的事情，然后准确地从你离开的地方回到你原来的任务。但知道一件事物如何工作只是故事的一半。一个科学原理的真正美丽和力量，在于我们看到它使什么成为可能，它能编织出多么错综复杂的织锦。现在，我们将踏上那段旅程，探索这个不起眼的中断的深远应用和令人惊讶的跨学科联系。我们将看到这单一机制如何成为从你图形界面的流畅感到航天器计算机的生死决策等一切事物的关键。

系统的持续嗡鸣：性能与响应性

你是否曾想过，你的电脑如何能一边下载大文件、播放音乐，同时还能即时响应你的鼠标移动？答案在于一场由中断精心编排的舞蹈。每一个到达你网卡的数据包，每一个从硬盘读取的数据块，每一次鼠标点击，都会触发一次中断。这持续不断的中断流是一家健康系统“嗡鸣声”，是计算机与世界对话的背景杂音。

然而，这种响应性并非没有代价。每一次中断，无论多么短暂，都会从你正在运行的应用程序中窃取一小片时间。处理器必须暂停工作，保存状态，处理事件，然后恢复状态。虽然每一次单独的暂停都微不足道，但它们会累积起来。我们甚至可以用惊人的精度来模拟这种“中断税”。如果我们把中断想象成随机到达的，就像暴风雨中的雨滴，我们可以使用随机过程的数学来计算一个程序实际获得的 CPU 时间期望值。一个被调度了一定时间量子（比如 $q$ ）的进程，并不能完全使用它；它获得的有效时间是 $q_{\mathrm{eff}} = q(1 - \lambda(\mu + o))$ ，其中 $\lambda$ 是中断率，而 $(\mu+o)$ 是处理一次中断的平均时间。这个公式优美地量化了开销——CPU生命中用于反应而非计算的那部分时间。

但是，当这种轻柔的嗡鸣变成震耳欲聋的轰鸣时会发生什么呢？考虑一个高负载下的高速网络连接。如果网络接口控制器（NIC）为每一个到达的数据包都中断CPU，处理器可能会因仅仅是确认中断的任务而变得不堪重负，以至于没有时间来实际处理其中的数据。系统进入一种“活锁”状态，疯狂地空转却毫无进展。这就像一个接待员忙于接电话说“请稍等”，却从未真正接通过一个电话。

这不是一个假设性的问题；它是高性能网络中的一个根本挑战。解决方案是一项巧妙的工程设计，称为*中断合并*。NIC 不再为每个事件都中断，而是被指示等到一批数据包到达后再发出单个中断。这种策略，在像 Linux 的新 API（NAPI）这样的真实世界系统中实现，极大地减少了中断开销。它代表了理念上的一个微妙转变：从纯粹的事件驱动模型（“总是告诉我所有事情”）转变为高负载下的混合轮询模型（“当有足够多的工作要做时再通知我”）。通过减弱中断风暴的轰鸣声，这项技术使系统即使在巨大压力下也能保持响应性和效率。

不眨的眼睛：实时系统与可预测性

对于大多数应用程序来说，平均性能就足够了。但在某些领域，迟到与出错无异。控制喷气式飞机飞行控制面、外科医生机器人或汽车防抱死刹车系统的计算机，无法承受任何意外的延迟。这些是*实时系统*的领域，其首要关注点不是速度，而是可预测性。

在这里，关键指标不是处理中断的平均时间，而是最坏情况下的中断延迟——从事件发生到其处理程序开始执行之间可能的最长延迟。为了实现低且有界的延迟，需要专门的操作系统。一个标准内核可能为吞吐量和公平性而设计，允许长的、不可抢占的临界区。而一个实时内核，例如用 PREEMPT_RT 补丁修补过的内核，其结构则不同，它使得几乎所有的内核代码都是可抢占的，并将中断处理程序视为高优先级线程。这种架构选择可以显著降低最坏情况下的延迟，因为它确保了一个紧急中断不会被一个长的、低优先级的内核任务阻塞。

然而，即使在这些精心设计的系统中，也可能出现奇怪的悖论。其中最著名的一个是*优先级反转*。想象一个高优先级任务（比如说，需要启动火箭推进器）正在等待一个资源——一个锁——而这个锁目前被一个低优先级任务（或许是记录温度数据的任务）持有。现在，假设一个中等优先级的任务（比如说，压缩图像的任务）准备好运行。由于它的优先级高于持有锁的任务，它会抢占后者。结果是一场噩梦：高优先级的推进器任务现在实际上被中等优先级的图像压缩任务阻塞了。持有关键锁的低优先级任务永远没有机会运行并释放它。这个场景，曾是一个深奥的学术难题，却著名地导致了火星探路者号探测车上的看门狗计时器反复重置航天器的计算机。

解决这个难题需要一种逻辑上的柔术。像优先级继承协议或优先级天花板协议这样的协议就是为此设计的。核心思想是人为地、临时地将持有锁的低优先级任务的优先级提升到等待它的高优先级任务的优先级。这可以防止中等优先级的任务干扰，让低优先级任务能够快速完成其关键工作并释放锁。在某些情况下，正确的解决方案甚至涉及让低优先级任务临时屏蔽高优先级中断，以保证其自身的快速完成。通过理解调度、中断和同步之间的微妙相互作用，我们可以构建不仅快速，而且可证明正确的系统，即使它们远在数百万英里之外的地球。我们甚至可以建立概率模型来计算高优先级任务因这些不可抢占部分而遭受的预期延迟。

共享心智：多核时代的体系结构

到目前为止，我们的旅程大多将计算机视为一个单一的心智。但现代处理器是一个心智的议会——一个拥有许多 CPU 并行工作的多核芯片。在这个世界里，中断扮演了新的角色：它们不仅用于与设备对话，还用于核心之间的相互通信。这些被称为处理器间中断（IPIs）。

虚拟内存管理中就出现了一个很好的例子。每个核心都有一个称为转译后备缓冲器（TLB）的小型快速缓存，用于存储最近从虚拟内存地址到物理内存地址的转换。如果核心0上的操作系统决定使一页内存无效，也许是因为它被交换到磁盘了，会发生什么？页表被更新了，但核心1、核心2和核心3上的TLB可能仍然持有旧的、现在已经过时的转换。如果它们使用它，就会访问不正确的数据，导致灾难性的失败。

核心0如何告诉其他核心更新它们的记录呢？它向它们发送一个IPI。在收到这个“TLB击落”（TLB shootdown）中断后，每个目标核心都会从其TLB中清除过时的条目，并发送一个确认回执。只有当所有确认都收到后，核心0才能安全地重新分配该物理内存。这个过程凸显了禁用中断（一种硬件状态）和禁用抢占（一种软件策略）之间的关键区别。核心1上的一个任务可能处于一个长的、不可抢占的临界区，但只要它的中断是启用的，它就会立即服务于IPI，并维护整个系统的内存一致性。

多核世界的奇特性还远不止于此。考虑一个设备，它通过直接内存访问（DMA）将一些数据写入内存，然后引发一个中断来告诉CPU数据已经准备好了。从逻辑上讲，写入发生在中断之前。但在具有弱内存模型的现代处理器上，这并不能得到保证！来自写操作的数据和中断信号在芯片的互连结构中沿着不同的物理路径传播。由于复杂的缓冲和重排序优化，中断可能在新的数据对该CPU核心可见之前到达CPU并触发处理程序。如果处理程序只是简单地读取内存，它可能会读到旧的、过时的值。

解决方案是使用*内存栅栏或屏障*。这是一个特殊的指令，它告诉CPU暂停并确保在继续之前，所有先前的内存操作都全局可见。在中断处理程序中，读取数据之前，代码必须发出一个读屏障。这就像一个岗哨，确保CPU对内存的视图与设备的视图在它对数据采取行动之前是一致的。这揭示了一个深刻的真理：在现代架构中，中断本身并不能强制内存的顺序。它们仅仅是信号，它们与它们所宣告的数据之间的关系必须被显式地管理。

新前沿：虚拟化与安全

中断处理的原理是如此基础，以至于它们可以扩展到可以想象的最复杂的计算环境中。考虑在一个*虚拟机*（VM）内运行一个实时操作系统。这个VM相信它拥有自己专用的硬件，但实际上，它的“vCPU”只是一个由虚拟机监控器（hypervisor）在真实物理CPU（pCPU）上调度的进程。我们如何在这个虚拟世界中提供实时系统的硬性保证——有界的中断延迟、满足截止期限？

答案是，虚拟机监控器本身必须成为一个实时系统。它必须提供诸如将vCPU钉在一个专用的pCPU上、将其自身的调度策略与客户机的优先级对齐等功能，以及最重要的是，以非常低且有界的延迟传递虚拟中断。任何为了吞吐量而牺牲延迟的特性，例如尽力而为的调度或中断合并，都会立即使系统无法满足其实时截止期限。要在“矩阵”中运行一个实时系统，这个“矩阵”本身必须遵守实时规则 [@problem_t:3689710]。

但正如中断促成了强大的系统一样，它们的机制也可能成为攻击的目标。一个操作系统的计时器系统，管理着从调度超时到延迟工作的一切事务，是建立在硬件计时器中断之上的。在一个典型的实现中，计时器存储在一个像“时间轮”这样的数据结构中。一个没有特殊权限的攻击者可以使用标准的系统调用，创建大量（ $n$ 个）计时器，都设置为在未来完全相同的时刻到期。

当那个时刻到来时，硬件会产生一个单一的、精确的中断。中断服务程序（ISR）现在面临一个包含 $n$ 个到期计时器的列表。即使计时器的实际工作被推迟了，ISR也必须至少遍历这个列表来为推迟做准备。这是一个具有 $O(n)$ 复杂度的操作。通过制造这场“计时器风暴”，攻击者迫使内核在一个高优先级的中断上下文中花费无限制的时间，而所有其他中断都被禁用。这可以冻结整个系统，从而通过一个非特权进程制造出一种高效的拒绝服务攻击。这表明，中断处理子系统的算法设计不仅仅是一个性能问题，更是系统安全的一个关键方面。

从硬件到人：抽象阶梯

我们的旅程已经从简单到复杂，从台式机的性能到服务器的安全。作为结束，让我们再攀登一次抽象的阶梯。当一个现代程序员编写异步代码时，他们可能会使用像futures、promises或async/await这样的构造。他们编写的代码会说：“启动这个网络操作，当它完成后，用结果运行这段代码。”这感觉很干净、优雅，并且远离了硬件的粗糙细节。

但事实并非如此。当那个网络操作完成时，一个设备会引发一个中断。CPU跳转到一个处理程序。这个处理程序，深藏在操作系统内核中，必须做一件非凡的事情。它必须完美地捕获当时正在运行的任何东西的全部状态——精确的指令指针（ $EPC$ ）、处理器状态寄存器（ $CSR$ s）、特权级、中断使能状态——并将其存储在一个上下文记录中。这个记录成为最终将兑现future的promise的基础。当程序员的续体最终被调度运行时，可能是在几毫秒之后，并且在一个完全不同的上下文中，内核会小心地解开这个记录，恢复保存状态的每一个比特，发出必要的内存栅栏，并执行一个特殊的return-from-exception指令。在那一瞬间，被中断的程序恢复了，完全不知道它曾被暂停过，就好像时间根本没有流逝一样。

在这里，我们看到了全貌。简单的硬件中断是基础构件。在此之上，操作系统构建了控制、可预测性和安全性的层次。而在这个金字塔的顶端，站着的是手握强大抽象工具的应用程序员。我们最高层软件的优雅，是其下方中断驱动世界中稳健且精心管理的混乱的直接结果。这就是计算机科学的统一之美——一条从晶体管到await关键字的无缝逻辑线索，而中断则将这一切紧密相连。