处理器特权模式

玻尔百科

核心要点

处理器通过至少两种特权模式来实施安全策略，从而将不受信任的用户应用程序与受信任的操作系统内核分离开来。
硬件通过将特定指令和内存区域指定为特权级，来强制实现这种分离。如果用户程序尝试进行未授权访问，就会触发一个故障或“陷阱”，将控制权交给操作系统。
系统调用是一种受控的、由硬件介导的机制，它允许用户应用程序安全地跨越特权边界，向内核请求服务。
虚拟化等高级应用依赖于捕获来自客户操作系统的特权指令，并在虚拟机监视器（hypervisor）中对其进行模拟，从而创建隔离的环境。
机密计算（如 Intel SGX）等现代概念颠覆了传统的信任模型，利用硬件来保护代码，使其免受特权级操作系统内核的侵害。

引言

现代计算的核心是一个对稳定性和安全性至关重要的原则：并非所有软件生而平等。将强大的系统级代码与日常应用程序分离开来，是防止单个有缺陷的程序导致整台机器崩溃的架构基石。这种分工由处理器通过一种称为“特权模式”的机制直接强制执行，该机制将系统严格划分为用于应用程序的受限用户模式和用于操作系统的强大监控模式。如果没有这个由硬件强制执行的边界，我们所熟知的多任务处理、安全性和系统稳定性都将无法实现。

本文将深入探讨计算机体系结构中的这一基础概念。我们将探索一套蚀刻在硅晶片上的简单规则，如何为整个系统创建了一个强大且时刻警惕的“守门人”。理解这一概念是掌握操作系统如何管理资源、虚拟化如何创造“世界中的世界”以及最新的安全功能如何在日益严峻的数字环境中保护数据的关键。

在接下来的章节中，我们将首先剖析处理器特权模式的“原理与机制”，审视强制实现这一关键隔离的硬件组件和底层交互。然后，我们将在“应用与跨学科联系”一章中拓宽视野，看看这个单一思想如何催生了稳定的操作系统、安全的虚拟机以及机密计算这一新前沿。

原理与机制

在每一台现代计算机的核心，从口袋里的手机到支撑互联网的海量服务器，都蕴含着一个简单而深刻的思想：并非所有软件生而平等。想象一下乘坐一架客机。作为一名乘客，你有一个舒适的座位、一扇窗户和一个呼叫饮料的按钮。然而，你绝不被允许随意走进驾驶舱并摆弄控制设备。那里有一扇上锁的门、严格的规程和一支受过专门训练的机组人员。这种隔离并非为了给你带来不便，而是为了确保整个系统的安全与稳定。驾驶舱中的一个小小失误，就可能对机上所有人造成灾难性后果。

处理器采用了几乎相同的理念。它们在至少两种截然不同的特权模式下运行：一种是用于应用程序的受限用户模式，另一种是用于操作系统的、功能强大的、拥有完全访问权限的监控模式（也称内核模式）。操作系统就是你计算机的“机组人员”。它管理着所有关键的硬件资源——内存、磁盘驱动器、网卡，甚至CPU自身的时间。应用程序则是“乘客”。它们可以在自己被分配的空间内完成有用的工作，但被严格禁止直接触碰系统的关键控制部件。这种由硬件自身强制执行的严格分离，是构建一个稳定、安全、多任务计算环境的基石。没有它，一个有缺陷或恶意的程序就可能导致整台机器崩溃、窃取其他程序的数据，或将硬件“劫为人质”。

硅片中时刻警惕的守门人

你可能会好奇，一块硅片，一个只会盲目执行指令的东西，如何能强制执行如此复杂的策略。答案是一个绝佳的例子，展示了复杂的行为如何从极其简单的规则中涌现。CPU当前的特权模式并非一个抽象概念；它通常作为几个比特位存储在一个特殊寄存器中，这个寄存器常被称为程序状态字（ $PSW$ ）。每当处理器取回一条指令时，它都会执行一次简单的、自动的检查。

让我们想象一个处理器有几个特权级别，由两个比特位 $M_1$ 和 $M_0$ 编码。例如， $M_1M_0 = 10$ 可以代表用户模式，而 $01$ 和 $00$ 则可以代表更强大的监控模式和虚拟机监视器模式。现在，假设每条指令都可以被分类为普通‘用户’指令（ $P=0$ ）或‘特权’指令（ $P=1$ ）。规则很简单：在用户模式下，你只能运行用户指令。尝试执行特权指令是被禁止的。基于这些简单的陈述，我们就可以构建一个硬件守门人。处理器的逻辑单元会查看当前的模式位（ $M_1, M_0$ ）和指令的类型位（ $P$ ），然后决定是继续执行，还是触发一个陷阱（trap）——这是一个即时的、由硬件强制发起的中断，它将控制权移交给操作系统。

触发此陷阱（ $T$ ）的逻辑，最终可以归结为一个直接从规则推导出来的简单布尔表达式。对于一个假设的机器，其中用户模式是 $10$ ，一个特殊的保留模式是 $11$ ，陷阱条件可以表示为 $T = M_1 M_0 + M_1 P$ 。这不仅仅是一个数学上的奇想，它是一张电路图。几个蚀刻在处理器上的与门和或门，构成了一个时刻警惕的守卫，它每秒数十亿次地检查每一条指令，从不失手。这就是硬件强制执行的原始力量：规则不是建议，它们是机器内部的物理定律。

守护“皇冠上的宝石”

什么使一条指令成为“特权”指令？这些是能够从根本上改变系统状态的操作。想一想那些可以暂停处理器、重新配置内存管理硬件或禁用中断的指令。允许任何应用程序执行这些指令将会导致混乱。一个典型的例子是控制系统如何响应危机的“地图”的指令。在流行的 $x86$ 架构上，lidt 指令加载中断描述符表（ $IDT$ ）的位置，该表告诉CPU在哪里找到处理从按键到严重系统错误等所有事件的代码。

如果一个用户模式的程序试图执行 lidt，硬件守门人就会立即行动。CPU会检查该指令要求的特权级别（在 $x86$ 上是 CPL $0$ ）与程序当前的特权级别（用户模式是 CPL $3$ ）。检查失败。但系统并不会就此崩溃。相反，CPU会触发一个特定的异常，即通用保护故障（ $#GP$ ）。它会自动保存违规指令的位置，切换到监控模式，并跳转到操作系统内部一个预定义的故障处理程序。然后，操作系统可以确切地看到发生了什么——是哪个程序试图执行哪条非法指令——将事件记录下来以备安全审计，并安全地终止这个行为不当的应用程序。IDTR 本身则保持不变。系统得到了保护，而“罪魁祸首”被当场抓获。

这种保护不仅限于少数几条“危险”指令。它也适用于存储在控制与状态寄存器（CSRs）中的关键硬件设置。硬件本身可以设计一个“特权掩码”，来决定哪些寄存器可以在哪种模式下被修改。例如，保存系统页表基地址（ $PTBR$ ）或控制内存管理单元（ $MMU\_CR$ ）的寄存器是神圣不可侵犯的；只有监控程序才能对其进行写操作。然而，一个保存线程特定指针（ $TP$ ）的寄存器可能可以由用户代码安全地写入。这种细粒度的控制使得系统既安全又灵活，在关键之处实施保护，同时给予用户程序高效运行所需的自由度。

敲响内核之门

如果应用程序被锁定在所有重要控制功能之外，它们如何执行诸如读取文件或通过网络发送消息等基本任务呢？它们无法自己完成，因此必须向操作系统请求帮助。这种正式的请求被称为系统调用。

系统调用是跨越特权边界的主要、受认可的方法。它是一个高度受控的转换过程，而不是一个简单的函数调用。应用程序不能直接跳转到内核代码中的任意地址。那将是一个巨大的安全漏洞。取而代之的是，它执行一条特殊指令——要么是通用的 TRAP 指令，要么是现代的、专门的 SYSCALL 指令。当CPU看到这条指令时，它会启动一个精心编排的流程。

硬件接管控制权，查询一个受保护的、由内核配置的表（如 $IDT$ 或特殊的模型特定寄存器），找到系统调用的唯一官方入口点，将特权模式从用户模式更改为监控模式，然后跳转到该入口点。应用程序可以请求服务并传递参数（如文件名），但它对内核代码从何处开始执行完全没有发言权。无论是旧的、更通用的陷阱机制，还是新的、更快的 SYSCALL 指令，其基本原理都是相同的：转换过程由硬件通过一个单一的、受到严密守卫的门来介导，而这个门的位置只有内核知道。

危险的返程之旅

安全地进入内核只是成功了一半。返回用户模式的旅程同样充满了危险。在内核完成其工作后，它必须恢复用户应用程序的状态并继续其执行。如果一个恶意程序能够欺骗内核恢复一个“有毒的”状态，那会怎么样？

想象一下，内核需要恢复用户程序的程序计数器（ $PC$ ）、栈指针（ $SP$ ）以及包含特权模式位的程序状态字（ $PSW$ ）。如果内核盲目地信任用户应用程序提供的值（这种情况在像 Unix 信号处理这样的机制中可能发生），就可能导致灾难。操作系统必须保持“偏执”。在执行特殊的“从陷阱返回”指令之前，内核软件必须一丝不苟地验证返回上下文。

提议的 $PC$ 是否指向用户自身内存空间内的一个合法的、可执行的地址？ $SP$ 是否指向一个有效的栈区域？最关键的是，待恢复的 $PSW$ 是否指定了用户模式？如果内核恢复了一个设置了监控模式位的 $PSW$ ，就相当于把驾驶舱的钥匙交给了乘客。RTT 指令将在完全的监控权限下恢复执行，实际上是将整台机器的控制权交给了-个不受信任的程序。因此，操作系统必须对这个状态进行净化，确保返回之旅能安全地回到用户领地。

用内存位构建墙壁

仅有特权模式是不够的。如果一个用户程序可以轻易地覆写内存中操作系统的代码和数据，那么所有其他的保护措施都将变得毫无意义。特权系统必须与内存保护协同工作。

这是通过向系统的内存映射（即页表）中添加保护信息来实现的。每个描述一小块内存的页表条目（PTE），不仅包含从虚拟地址到物理地址的转换信息，还包含一组权限位。其中最基本的是用户/监控（ $U/S$ ）位。

由硬件的内存管理单元（MMU）强制执行的规则简单而绝对：如果CPU当前处于用户模式，它只被允许访问那些 $U/S$ 位被设置为“用户”的页面。任何试图读取、写入或执行标记为“监控”的页面的行为都会导致立即的故障，并将控制权转移给操作系统。这在内核内存周围建立了一道不可逾越的墙。如果攻击者构造一个恶意的 return 指令以直接跳转到内核代码中，MMU的 $U/S$ 检查将立即拒绝该指令的提取，从而在任何内核代码得以执行之前就触发故障。

现代系统增加了另一层保护：不可执行（NX）位。这允许操作系统将包含数据的页面标记为不可执行。如果攻击者想耍小聪明，不是跳转到内核代码，而是跳转到用户自己的内存中一个他们放置了恶意代码的数据缓冲区，此时 $U/S$ 检查可能会通过，但MMU会看到 $NX=1$ 位并再次触发故障。这种被称为数据执行保护（DEP）的防御措施，挫败了一整类的攻击。

这些硬件壁垒非常坚固，但它们依赖于操作系统正确地构建它们。操作系统中的一个错误，如果意外地将一个敏感的内核数据结构映射到用户的页表中，并将 $U/S$ 位设置为“用户”，就会造成一个严重的信息泄露漏洞。硬件看到“用户”位后，会很乐意地授予访问权限。修复此类错误不仅需要修正页表中的那个位，还必须通知CPU刷新其翻译缓存（TLB），以确保旧的、不正确的权限永远不会再被使用。

前沿：机器中的幽灵

特权分离的原则几十年来保持不变，但现代处理器的复杂性引入了新的、微妙的挑战。例如，虽然内核受到保护，免受用户程序的侵害，但又有什么来保护内核自身呢？一个有缺陷的内核可能会被用户程序欺骗，从而从一个无效地址读取数据。为了解决这个问题，硬件设计者引入了像 SMAP（监控模式访问阻止）这样的功能，它默认阻止内核访问用户页面。但即使这样也有限制。如果用户传递的指针指向的不是用户内存，而是返回到一个合法的内核内存区域，SMAP就无法提供保护，一个有缺陷的内核仍可能被欺骗，从而泄露自己的秘密。软件纪律仍然是最终的防线。

也许最令人费解的挑战来自推测执行。为了提高速度，现代CPU会猜测接下来将要执行的指令，并提前运行它们。如果CPU推测性地执行了一条违反特权规则的指令会怎样？处理器足够智能，最终会意识到自己的错误并丢弃结果。然而，推测性地获取被禁止数据的行为本身可能会留下痕迹——系统缓存中的一个“幽灵”。攻击者发现他们可以检测到这些痕迹，从而跨越特权边界读取秘密数据。

这一惊人的发现意味着，仅仅在指令生命周期结束时检查权限已经不够了。保护措施必须提前。解决方案是微架构上的一次深刻变革：CPU现在必须在发送推测请求之前就检查指令访问内存的权限。它必须从一开始就阻止“幽灵”的产生。这场攻击者与硬件设计者之间的“猫鼠游戏”表明，特权模式这个简单而优美的思想是一个活生生的概念，在机器最深、最复杂的角落里不断受到考验和加固。

应用与跨学科联系

在了解了处理器特权模式的原理之后，我们可能会觉得，我们研究的只是一个巧妙但或许狭隘的硬件工程领域。一个简单的开关，仿佛在说：“这个你不能碰。”但如果仅仅将其视为一个守门人，那就错过了其中的魔力。这个简单的思想不仅仅是门上的一把锁；它是一个基础的架构工具，让我们能够构建起完整的软件世界，每个世界都有自己的规则、自己的物理定律以及自己对安全和秩序的保障。它是构建起所有现代计算的无形脚手架。

在本章中，我们将探讨这个基础概念如何发展出令人惊叹的各种应用。我们将看到它如何让操作系统扮演一个“仁慈的独裁者”，如何实现虚拟化这一“魔术师的戏法”，以及它如何被重塑以应对现代网络安全的挑战，并定义计算领域信任的未来。

操作系统：保护王国的“仁慈独裁者”

想象一下，操作系统不是一段软件，而是一个王国的政府。应用程序是公民，各自忙于自己的事务。硬件——CPU、内存、磁盘和网卡——则是王国的共享资源。处理器的特权模式赋予了操作系统主权。运行在特权的“内核模式”下，操作系统可以看见并做任何事情。而运行在“用户模式”下的应用程序则是权利受限的臣民。这种分离无关暴政；它是确保和平、稳定以及所有成员公平使用资源的唯一途径。

一个简单而深刻的例子是系统时钟。许多系统都有硬件计时器，其频率可以通过写入一个特殊的控制寄存器来改变。如果任何公民（应用程序）都可以随意上前调快或调慢城镇的时钟，混乱就会随之而来。依赖于计时的程序会失败，网络通信会超时，整个王国的秩序感将荡然无存。通过将该频率控制寄存器置于硬件版图的特权部分，特权模式确保了只有操作系统才能触碰它。任何试图这样做的用户应用程序都会触发一个硬件陷阱，相当于“呼叫卫兵”，然后由操作系统处理这次违规行为。接着，操作系统可以为其公民提供一项更有用的服务：一个稳定的、虚拟化的、完全连续的时间概念，即使操作系统自身出于电源管理的原因需要改变底层硬件时钟的频率。

这种保护原则延伸至王国的所有边界。最关键的边界是那些通往外部世界的边界：I/O设备。对于处理器来说，一个磁盘驱动器、一张网卡或一个图形适配器，通常只是一段内存地址范围。一个实验装置可以证明这一点：如果操作系统将设备的控制寄存器映射到它自己的特权内存空间，而一个用户程序试图读取那段内存，硬件本身——内存管理单元（MMU）——就会立即行动起来。它检查该内存页的“访问票据”，发现它被标记为“仅限监控程序”，随即发出警报，引发一个故障，将控制权陷阱回操作系统。用户程序的尝试在开始之前就被阻止了。

这是最纯粹形式的最小权限原则。操作系统甚至可以授予极其具体、细粒度的访问权限。在某些架构上，操作系统不必给予用户空间驱动程序对所有 I/O 端口的完全访问权限，而是可以使用像 x86 I/O 权限位图这样的特殊硬件功能，授权它仅仅与它所用设备的精确端口通信，而不能访问其他端口。

但是那些有自己“想法”的设备呢？直接内存访问（DMA）引擎是一个强大但危险的仆人。CPU可以指示它直接在内存和其他设备之间移动大块数据，从而将CPU解放出来执行其他任务。问题在于，一个简单的DMA引擎使用物理内存地址工作。它不知道每个应用程序所居住的、被精心构建的虚拟内存世界。它完全绕过了CPU的MMU。如果一个用户应用程序被给予对DMA引擎的直接控制权，它就可以命令该引擎覆写操作系统内核，或读取任何其他应用程序的私有内存——这将导致彻底的安全崩溃。这就是为什么编程DMA传输必须是一个特权操作。操作系统必须充当受信任的中介，验证用户的请求，将用户的虚拟缓冲区地址转换为安全的物理地址，然后才能向DMA引擎下达命令。这一挑战甚至催生了IOMMU的诞生，它本质上是用于I/O设备的特权检查硬件，将王国的法律延伸到了“蛮荒”的外围。通过结合这些工具——特权控制、IOMMU和精心设计的共享数据结构——一个现代操作系统可以构建出性能极高但本质上仍然安全的I/O服务，甚至允许一个用户级程序在不危及系统安全的情况下全速驱动尖端的NVMe SSD。

世界中的世界：虚拟化的艺术

如果说保护单个系统是操作系统的日常工作，那么虚拟化则是其最宏伟的“行为艺术”。利用特权模式，一种被称为虚拟机监视器（hypervisor）的特殊操作系统可以施展终极魔法：创造出一个完整的、私有的计算机幻象，在这个幻象内部，另一个“客户”操作系统可以运行，却浑然不知自己只是宿主机脑海中的一个梦。

其秘诀在于一种名为“陷阱-模拟”（trap-and-emulate）的巧妙手法。虚拟机监视器运行在真正的特权模式（ring $0$ ）下。它所托管的客户操作系统呢？它以为自己运行在 ring $0$ ，但实际上虚拟机监视器已将其置于一个非特权的的用户模式（如 ring $3$ ）。现在，当客户操作系统试图执行一个特权操作，比如通过执行 LGDT 指令加载它自己的全局描述符表时，会发生什么？在一台原生机器上，这会成功。但在这里，它是一条在非特权模式下执行的特权指令。陷阱！ 一个硬件故障发生，控制权立即被移交给唯一真正的主人——虚拟机监视器。

虚拟机监视器接着查看被捕获的指令，并在软件中模拟其行为。它从客户机的虚拟内存中读取客户机意图加载的描述符表，将此信息存储在一个私有的“虚拟CPU”数据结构中，然后恢复客户机的执行。客户操作系统对此一无所知；它的 LGDT 指令看起来就像完美地工作了。这种“陷阱与模拟”的优雅舞蹈使得虚拟机监视器能够创造出真实硬件的完美幻象，同时保持完全的控制，确保客户机无法逃离其虚拟世界。

同样是基于硬件特权的底层原理，也催生了不同类型的隔离。一个使用“陷阱-模拟”构建的虚拟机（VM）虚拟化了硬件本身。它的隔离边界是虚拟机监视器呈现的虚拟主板、虚拟CPU和虚拟磁盘。为了运行应用程序，它需要一个完整的客户操作系统——拥有自己的内核——来管理这些虚拟硬件。相比之下，操作系统级虚拟化，即容器，则采用了不同的方法。多个容器共享同一个宿主操作系统的内核。这里没有硬件虚拟化。隔离边界是宿主内核的系统调用接口，该接口由命名空间（namespaces）和控制组（cgroups）等功能来监管。容器中的进程只是一个普通的宿主进程，但其对世界的视野受到了限制。两种模型都提供了强隔离，但它们在不同的抽象层次上实现这一点，而这一切都源于特权内核定义和强制执行边界的基本能力。

现代战场：在充满敌意的世界中保护代码

特权模式不仅仅用于隔离像进程和操作系统这样的大型组件。它们是在对抗软件漏洞的持续战斗中的一个关键武器，用于在单个进程内部强制执行安全策略。

现代最重要的安全策略之一是“写异或执行”（W $\oplus$ X）。其原则很简单：一个内存区域要么是可写的，要么是可执行的，但绝不能同时兼备。这挫败了一整类攻击，在这类攻击中，恶意行为者将代码注入可写缓冲区，然后欺骗程序去执行它。但是，对于一个需要在运行时合法地生成代码的程序，比如用于 Java 或 JavaScript 的即时（JIT）编译器，你该如何强制执行这一策略呢？

答案再次在于操作系统对内存的特权控制。JIT 编译器首先将其机器代码写入一个映射为读写（ $\mathrm{RW}$ ）的缓冲区。然后，为了执行这些代码，它必须执行一个系统调用，请求内核将该内存的权限更改为读取-执行（ $\mathrm{RX}$ ）。这是一个受控的页面属性“翻转”。运行在特权模式下的内核会更新页表，清除“写”权限位，并清除“不可执行”（NX）位。然后，它确保这一变更被广播到所有的CPU核心。只有这样，新生成的代码才能被安全地执行。若要稍后修补代码，该过程必须反向进行，同样需要内核的介入。JIT永远不能同时拥有写和执行权限，因为它没有足够的特权来自己做出这种改变。

这种进程内分区的思想正在通过像Intel的用户空间保护密钥（PKU）这样的新硬件特性得到进一步推广。PKU允许单个进程将其自己的用户空间内存划分为多达16个不同的“域”，并能快速切换哪些域是可访问的。这是一个强大的沙箱工具，例如，可用于隔离加载到网页浏览器中的不受信任的插件。浏览器的核心内存可以分配给一个密钥，插件的内存分配给另一个。在调用插件之前，浏览器可以禁用对其自身密钥的访问。问题在哪里？更改密钥的指令 WRPKRU 本身是非特权的！一个聪明的插件可以简单地执行 WRPKRU 来让自己访问宿主的内存。这表明硬件特性并非万能药。一个真正健壮的沙箱必须将硬件特性（PKU）与特权的操作系统特性（如用于限制系统调用的 seccomp）以及巧妙的软件安全技术（如静态二进制分析和控制流完整性）结合起来，以防止插件调用该指令。这种美妙的相互作用展示了硬件能力和软件安全架构之间不断演变的“舞蹈”。

新的前沿：当操作系统成为敌人

几十年来，操作系统内核一直是信任的根源，是系统中权限最高的实体。但是，如果你正在处理的数据非常敏感，以至于你甚至不能信任操作系统，那该怎么办？如果云服务提供商的内核可能是恶意的或已被攻破，又该怎么办？这就是机密计算所要解决的挑战，这是一个建立在像Intel软件防护扩展（SGX）等硬件特性之上的新范式，这些特性创建了可信执行环境（TEE），即“飞地”（enclaves）。

飞地是对经典特权模型的一次真正引人注目的颠覆。它是一块内存区域，其内容由CPU自身加密。飞地内的代码和数据可以被处理，但它们受到保护，免受任何外部软件的观察或修改，包括运行在 ring 0 的操作系统内核。这是有史以来第一次，操作系统成了“局外人”。

这个新模型从根本上改变了责任分配。操作系统仍然需要履行其传统职责——调度飞地的线程，映射其（加密的）内存页，并提供I/O服务。但现在，它被视为一个不受信任的仆人。它被信任提供可用性（运行代码），但不被信任提供机密性或完整性（查看或更改代码/数据）。

这带来了深远的影响。由于操作系统无法看到飞地内部，像I/O这样的简单任务变成了一场复杂的、需要中介的“芭蕾舞”。设备不能直接通过DMA将数据传输到私有的飞地内存中。相反，飞地必须将数据复制到一个共享缓冲区，退出飞地，然后请求操作系统来取走它。在一个假设的场景中，这种中介会带来显著的性能成本，从进出飞地的硬件开销，到跨越信任边界的加密检查和数据复制的软件开销。这就是一个零信任世界所付出的代价。

从一个简单的硬件开关到一场复杂的不信任之舞，处理器特权模式的演进之旅证明了一个单一、优雅思想的力量。正是这个沉默而无处不在的原则，为裸机的混乱带来了秩序，使得我们每天依赖的稳定操作系统、广阔的虚拟世界和安全的应用程序成为可能。它提醒我们，在计算领域，如同在物理学中一样，最深刻、影响最深远的结构，往往源于最简单的规则。