x86 保护模式下的特权级访问控制机制详解

原创 于 2025-10-21 18:26:47 发布 · 799 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #操作系统 #内核

目录

一、段的类型与基本语义

1. 代码段(Code Segment)

2. 数据段(Data Segment)

3. 栈段(Stack Segment)

二、特权级三要素定义

三、访问控制规则详解

(1)数据段与栈段访问

(2)代码段跳转

四、特权级切换的受控机制

1. 特权级提升(CPL 数值变小)

2. 特权级降级(CPL 数值变大)

五、初始 CPL 的建立

六、设计哲学与安全意义

在 x86 保护模式下,内存访问机制的核心在于段描述符与特权级保护模型的协同作用。该模型通过区分代码段(执行身份)与数据段/栈段(资源访问)的不同语义,实现了对系统安全与功能需求的精细控制。以下是对这一机制的系统性梳理,条理清晰、无重复,便于深入理解。

一、段的类型与基本语义

1. 代码段(Code Segment)
  • 用途:存放可执行指令,由 CS 寄存器指向。
  • 关键属性
    • Type 字段中 X=1(可执行)。
    • 是否为一致代码段由 C 位决定:
      • C=0(非一致):仅允许平级跳转(CPL == DPL)。
      • C=1(一致):允许低特权代码跳入(CPL ≥ DPL),但 CPL 不变。
  • 特权身份来源:CS 选择子的 RPL 即为当前 CPL(CPL = CS.RPL),这是整个权限模型的锚点。
2. 数据段(Data Segment)
  • 用途:存放全局/静态数据,由 DS、ES、FS、GS 指向。
  • 关键属性
    • X=0(不可执行),通常可读/可写。
    • 所有数据段均为“非一致”,但“非一致”一词在此仅表示“禁止低特权访问高 DPL 段”,不适用 CPL == DPL 规则
  • 访问规则max(CPL, RPL) ≤ DPL
3. 栈段(Stack Segment)
  • 用途:函数调用、中断现场保存,由 SS 指向。
  • 本质:特殊的数据段,但访问规则更严格。
  • 加载 SS 时要求CPL == RPL == DPL(三者必须完全一致)。
  • CPL 仍由 CS.RPL 决定,而非 SS.RPL。

二、特权级三要素定义

要素

含义

存储位置

作用

DPL(Descriptor Privilege Level)

段的“访问门槛”

段描述符中(2 位,0~3)

定义访问该段所需的最低特权级

CPL(Current Privilege Level)

当前执行代码的特权级

= CS.RPL

代表 CPU 当前的“执行身份”

RPL(Requested Privilege Level)

请求访问时声明的权限

段选择子低 2 位

限制高特权代码代表低特权主体时的权限

关键澄清

  • CPL 仅由 CS.RPL 定义,其他段寄存器的 RPL 不影响 CPL。
  • 实际权限检查使用 有效请求级 = max(CPL, RPL)

三、访问控制规则详解

(1)数据段与栈段访问

  • 通用规则(DS/ES/FS/GS):
    max(CPL, RPL) ≤ DPL

    • 允许高特权访问低 DPL 段(如内核 CPL=0 访问用户 DPL=3 数据)。
    • 禁止低特权访问高 DPL 段(如用户 CPL=3 访问内核 DPL=0 数据)。
    • RPL 机制防止内核滥用权限:即使 CPL=0,若 RPL=3,则无法访问 DPL=0 段。

  • 栈段特殊规则(SS):
    CPL == RPL == DPL

    • 确保栈的完整性,防止特权切换时栈被污染。
(2)代码段跳转

  • 非一致代码段(C=0):
    CPL == DPL

    • 仅允许平级跳转。
    • 跳转成功后,CS.RPL 被设为 DPL → CPL 更新为 DPL。
    • 高→低或低→高跳转均被禁止(除非通过门)。

  • 一致代码段(C=1):
    CPL ≥ DPL

    • 允许低特权代码跳入高 DPL 段(如用户调用共享系统库)。
    • 跳转后 CS.RPL 保持原 CPL → CPL 不变。
    • 无法执行特权指令(因 CPL 未提升)。

四、特权级切换的受控机制

1. 特权级提升(CPL 数值变小)
  • 唯一合法路径:通过门描述符(调用门、中断门、陷阱门)。
  • 过程
    • CPU 自动从 TSS 获取新 SS:ESP,切换栈。
    • 保存旧上下文(SS:ESP, CS:EIP, EFLAGS)。
    • 新 CS.RPL = 目标代码段 DPL → CPL 更新。
  • 典型场景:系统调用、中断处理。
2. 特权级降级(CPL 数值变大)
  • 禁止直接跳转到低 DPL 非一致代码段。
  • 唯一合法路径iret 指令。
    • 从中断/系统调用返回时,CPU 从内核栈弹出用户态 CS:EIP。
    • CS 被恢复为用户选择子(RPL=3)→ CPL 更新为 3。
  • 安全意义:确保降级过程由操作系统完全控制。

五、初始 CPL 的建立

  • 实模式下 CS=0x0000,低 2 位为 0,但无特权含义。
  • 进入保护模式后,首条跳转指令(如 jmp 0x08:entry):
    • 选择子 0x08 的 RPL=0,指向 GDT 中 DPL=0 的代码段。
    • 跳转成功后,CS = 0x08 → CS.RPL = 0 → CPL = 0。
  • 此后所有权限检查均以 CS.RPL 为 CPL 来源。

六、设计哲学与安全意义

  1. 执行身份与访问权限统一:CPL = CS.RPL,确保“谁在执行”决定“能做什么”。
  2. 最小权限原则:DPL 作为资源门槛,RPL 防止权限提升滥用。
  3. 控制流完整性:特权切换必须通过可信路径(门、iret),防止任意跳转破坏安全边界。
  4. 性能与安全平衡:一致代码段允许共享只读代码,无需特权切换开销,但限制特权指令使用。

x86架构中断描述符表(IDT)详解:从实模式到保护模式
操作系统内核探秘的博客
06-03 780
当你在键盘上敲下一个字母,屏幕立刻显示字符;当程序计算时出现除零错误,系统弹出"崩溃提示"——这些日常操作的背后,都依赖计算机的中断机制。本文聚焦x86架构中中断管理的核心数据结构:中断描述符表(IDT),覆盖从8086时代的实模式到80286后的保护模式的演进过程,解析IDT的设计原理、实现细节及实际应用。本文将按照"中断基础→实模式IVT→保护模式IDT→实战演示"的逻辑展开。先通过生活案例理解中断概念,再对比IVT与IDT的差异,最后通过一个简单的内核实验演示IDT的初始化过程。
CPL RPLDPL的个人总结
jifeidanda123的博客
03-03 1310
CPLRPLDPL 一、 Current Privilege Level 1.物理位置 CS寄存器低二位,实际为CS寄存器的RPL字段。 2.作用 表明当前所处的特权,一般情况下与DPL相等,不如说CPL实际的来源就是DPL,除向一致性段的跳转以外。 二、 Request Privilege Level 1.物理位置 段选择子寄存器低二位。 2.作用 作为请求跨段跳转的请求特权,一般情况下与CPL相等,RPL是由用户提供的段选择子寄存器指定,所以用户能够定义不符合规定的RPL,不相等只存在与以下两
CPL RPLDPL 之间的区别和联系
Yannie's Blog
11-26 8913
众所周知,特权是CPU保护模式的核心,那么CPLRPLDPL就可以称得上是特权的核心了。因为这三个概念之前一直没弄懂,于是今天一狠下心,决定一定要将其弄明白,于是,来记录一下。 (本文的图来自于Intel® 64 and IA-32 Architectures Software Developer’s Manual Volume 3) 疑问一:RPL是用来限制什么的? 我们先来明确一个检...
CPLDPLRPL
jadeshu的博客
09-07 4247
(1)CPL   CPL是当前执行的程序或任务的特权。它被存储在CS和SS的第0位和第1位上。通常情况下,CPL代表代码所在的段的特权。当程序转移到不同特权的代码段时,处理器将改变CPL。只有0和3两个值,分别表示用户态和内核态。 (2)DPL   DPL表示段或门的特权。它被存储在段描述符或者门描述符的DPL字段中,当当前代码段试图访问一个段或者门(这里大家先把门看成跟段一样),DPL将会和CPL以及段或者门选择子的RPL相比较,根据段或者门类型的不同,DPL将会区别对待。 GD..
DIY操作系统(6):特权CPLDPLRPL
无名J0kзr的博客
11-27 1843
OS
DPLCPLRPL 权限机制详解
最新发布
m0_54691290的博客
05-23 1216
缩写全称说明CPL当前代码的特权(由CS段选择子低 2 位决定)DPL段描述符中设定的特权(表示段属于哪个权限层)RPL段选择子低 2 位(表示请求访问者的“访问身份”)有效权限等 = max(CPL, RPL)系统判断是否允许访问目标段时,会用这个有效权限去比较 DPL。场景CPLDPLRPL是否允许?原因用户程序访问自己数据段333✅3 ≤ 3用户程序访问内核数据段303❌3 > 0用户程序调用 conforming 段(DPL=0)303✅。
一致码段、非一致码段、dplcplrpl简介
zdd56789的博客
02-23 2391
一致码段、非一致码段、cpldplrpl
嵌入式x86保护模式编程技术详解
“Embedded Protected Mode ...同时,“Windows编程”这一标签暗示文档可能探讨了保护模式与Windows内核机制之间的关联,比如Windows NT系列操作系统正是基于x86保护模式构建的...
80386保护模式编程技术详解
本文件《保护方式下的80386及其编程》深入探讨了80386在保护模式下的运行机制、内存管理、特权控制、中断处理以及相关的汇编语言编程技术,是理解操作系统底层原理和系统编程的重要参考资料。 保护模式是80386...
X86实模式到保护模式源码详解:从MBR到主引导区示例
3. **特权**:保护模式有多个特权别,每个别有不同的权限,比如系统态(Ring 0)和用户态(Ring 3),防止恶意代码直接访问敏感系统资源。 4. **内存管理单元(MMU)**:硬件别的内存管理单元实现了虚拟...
80x86保护模式详解教程
80x86保护模式x86架构处理器在现代操作系统中运行的核心机制之一,它为系统提供了内存保护、多任务支持、特权控制以及更灵活的内存管理能力。本系列教程以“80x86保护模式系列教程”为核心主题,深入剖析了从实...
特权1——RPLDPLCPL
fisher_jiang的专栏
06-12 2672
保护模式中最重要的一个思想就是通过分把代码隔离了起来,不同的代码在不同的别,使大多数情况下都只和同代码发生关系。Intel的80286以上的cpu可以识別4个特权(或特权层) ,0到3。数值越大特权越小。一般用把系统内核放在0,系统的其他服务程序位于1、2,3则是应用软件。一般情况下代码都在自己的别下做自己的工作,同一别之间可以相互访问,而一般是不允许不同别的代码间随意访问
01 - DPL,CPL,RPL的权限检查整理
WriteAnything_的博客
06-11 478
RPL相当于DPL的一个大门,来拦截非法访问,有公式 max(CPL, RPL) <= DPL,我们人为设计了一道大门,当mov ds,ax加载成功了,我们就可以访问零环代码段的数据,但是在这之前必须经过段选择子,如下,有下面四种情况。比如我们要进入零环,此时ds的值要改为零环,有这个汇编代码 "mov ds, ax(零环的段选择子)",此时就要来进行相关权限检查,如果权限检查通过,就加载段描述符表。③ 这种情况是不可能发生的,三环的权限来请求零环的代码,这当然是不可能的。
x86 几个特权别(CPL,RPL,DPL)
少帅的天空
08-04 4207
<br />在阅读linux内核的时候,在linux内核的权限保护机制部分,经常会讨论几个特权别:CPL,RPLDPL。下面简单讲一下我自己的理解。 背景知识:<br />1 x86体系结构的几个段寄存器:cs,ds,es,ss.fs.gs它们无论在实模式下还是保护模式下,都是16位的寄存器,只是功能不而已。实模式下: 用做段寄存器,用来将逻辑地址转换到线性地址保护模式下:段选择子,用来作为索引在GDT表或LDT表等中选择段描述符。主要内容:1 段选择子基本结构:   index    TI    
DPL RPL CPL的区别和作用
chenspnjupt1234的专栏
05-10 1729
1.DPL是描述符特权RPL是选择子特权CPL是当前执行的代码段的特权2.对于一致性代码段(能被特权相同或低的代码访问),CPL不发生改变;对于非一致性代码段,CPL发生改变3.DPL:数据段的DPL规定了访问它的最低特权       使用调用门访问的非一致性代码段的DPL规定了访问它的特权       调用门的DPL规定了访问它的最低特权       一致代码段和不通过
DPL简介
m0_54691290的博客
05-22 2280
是一个2位的字段0(最高权限,内核态) ~ 3(最低权限,用户态)它存在于段描述符(Segment Descriptor)中,用于标识这个段所属的权限别。项目内容名称位数2 位(值域 0~3)存在位置段描述符中作用定义该段的访问权限别判断方式与 CPL/RPL 联合决定访问权限常见应用用户态访问限制、内核态保护、系统调用跳转控制。
4段权限等
q873412892的博客
04-14 575
普通数据段 使用段描述符寻址时,先比较段选择子的RPL(请求特权别)与段描述符的DPL(段特权别)如果RPL小于等于DPL,再比较 CPL(当前特权别) 与DPL(段特权别),如果CPL也小于等于DPL那么就可以通过段描述符寻址。当程序在低特权别(例如用户态)下尝试访问一个高特权别(例如内核态)的段时,它可以通过设置选择子的RPL来请求权限。通常,内核态运行的代码(例如操作系统内核)具有最高特权别(CPL为0),而用户态程序具有较低特权别(CPL为3)。CPL是当前正在执行代码的特权别。
DPL,RPL,CPL特权
zhanglei8893的专栏
09-14 1933
DPL,RPL,CPL DPL放在段/门描述符中,RPL位于选择子中,CPL即装载选择子的CS的可见部分的CS.RPL 数据段:数据段总是一致段,访问数据段需要满足max(RPL,CPL)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lcreek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值