嵌入式之x86 架构下实模式与保护模式深度解析，兼论 Linux 内核的底层实现逻辑

一、x86 处理器架构的历史演进与模式划分

1.1 处理器架构的发展脉络

x86 架构起源于 1978 年发布的 Intel 8086 处理器，其设计初衷是为 16 位计算环境提供通用解决方案。随着技术迭代，从 80286 开始引入保护模式，历经 80386 到现代的 IA-32/IA-32e 架构，形成了实模式（Real Mode）、保护模式（Protected Mode）、虚拟 8086 模式（Virtual 8086 Mode）以及 64 位模式（IA-32e Mode）的多层次模式体系。其中，实模式与保护模式是理解 x86 架构内存管理和系统安全的基础。

1.2 模式切换的硬件基础

处理器通过控制寄存器 CR0 的 PE（Protection Enable）位实现实模式与保护模式的切换。当 PE=0 时处于实模式，PE=1 时进入保护模式。这一切换过程涉及全局描述符表（GDT）的初始化、段寄存器重加载等关键操作，是操作系统引导阶段的核心任务。

二、实模式：传统架构的运行基石

2.1 技术定义与内存模型

实模式是 x86 处理器加电或复位后的默认运行模式，其设计继承自 8086 处理器的 16 位架构。在此模式下：

• 地址空间：支持 20 位物理地址线，理论寻址范围为 1MB（0x00000-0xFFFFF）。
• 段寻址机制：采用 “段基址：段偏移” 的组合方式生成物理地址，计算公式为：物理地址 = 段基址 << 4 + 段偏移。其中段基址存储于段寄存器（CS/DS/SS/ES 等），段偏移为 16 位寄存器值。
• 特权级模型：仅实现最低限度的特权保护，所有程序默认运行在特权级 Ring 0，缺乏内存访问隔离机制。

2.2 关键实现原理

2.2.1 段寄存器的工作机制

实模式下的段寄存器直接存储段基址的高 16 位，左移 4 位后与偏移地址相加形成 20 位物理地址。这种设计虽然简单，但存在地址重叠问题（如段基址 0x1000 与偏移 0x2000 和段基址 0x1200 与偏移 0x0000 指向同一物理地址 0x12000），导致内存管理的灵活性不足。

2.2.2 中断处理机制

实模式采用固定的中断向量表（Interrupt Vector Table, IVT），位于物理地址 0x00000-0x003FF，共 256 个中断向量，每个向量对应 4 字节的中断处理程序入口地址（段基址：偏移）。这种设计限制了中断处理的扩展性，且缺乏中断优先级管理机制。

2.3 应用场景与局限性

2.3.1 典型应用场景

• 系统引导程序：BIOS 固件、GRUB 引导加载程序的初始阶段运行于实模式，负责硬件初始化和保护模式切换准备。
• 兼容性支持：早期 DOS 程序、部分嵌入式系统仍依赖实模式运行。

2.3.2 主要局限性

• 地址空间受限：最大 1MB 寻址空间无法满足现代应用需求。
• 缺乏内存保护：用户程序可直接访问任意物理内存，易导致系统崩溃。
• 单任务环境：无法支持多任务并发执行，程序间资源隔离机制缺失。

三、保护模式：现代操作系统的核心架构

3.1 技术定义与核心特性

保护模式是 x86 架构的革命性突破，自 80286 处理器引入后成为现代操作系统的基础。其核心特性包括：

• 扩展地址空间：32 位模式下支持 4GB 寻址（0x00000000-0xFFFFFFFF），64 位模式可达 2^64 字节。
• 内存保护机制：通过段描述符、特权级检查、分页机制实现进程间内存隔离。
• 多任务支持：提供任务切换机制、上下文保护及中断优先级管理。

3.2 内存管理的双重机制

3.2.1 分段机制（Segmentation）

保护模式下的段寄存器不再直接存储段基址，而是存储段选择子（Segment Selector）。段选择子指向全局描述符表（GDT）或局部描述符表（LDT）中的段描述符（Segment Descriptor）。段描述符包含以下关键信息：

• 段基址（Base）：32 位（32 位模式）或 64 位（64 位模式）的段起始物理地址。
• 段界限（Limit）：段的最大偏移量，决定段的大小（通过 G 位决定是以字节为单位还是 4KB 页为单位）。
• 访问权限（Access Rights）：包含特权级（DPL）、段类型（代码段 / 数据段）、可写性、一致性等标志位。

逻辑地址到线性地址的转换流程：

1. 从段寄存器获取段选择子，提取索引值查找 GDT/LDT 获取段描述符。
2. 验证段选择子的 TI 位（0 表示 GDT，1 表示 LDT）及描述符有效性。
3. 检查当前特权级（CPL）是否满足访问权限（CPL ≤ DPL 且 RPL ≤ DPL）。
4. 计算线性地址：线性地址 = 段基址 + 段偏移。

3.2.2 分页机制（Paging）

分段机制可独立启用或禁用，而分页机制依赖分段机制（线性地址由分段产生）。分页机制通过页目录表（Page Directory, PD）、页表（Page Table, PT）将线性地址转换为物理地址：

• 32 位分页（4KB 页）：
  • 线性地址分为 10 位目录索引、10 位页表索引、12 位页内偏移。
  • 页目录基址存储于 CR3 寄存器，每个页目录项（PDE）指向一个页表，页表项（PTE）包含物理页基址及访问权限标志（如读写权限、用户 / 内核级、是否缓存等）。
• 64 位分页（IA-32e 模式）：
  • 采用 9-9-9-9-12 的五级分页结构（PAE 模式下为四级），支持大页（2MB/1GB）提升转换效率。

3.3 特权级保护体系

保护模式引入四级特权级（Ring 0-Ring 3），其中：

• Ring 0：内核态，拥有最高权限，可执行特权指令（如修改 CR 寄存器）。
• Ring 3：用户态，权限最低，禁止访问敏感资源。
• 特权级检查规则：
  • 代码段切换：只能从低特权级向高特权级跳转（通过门描述符），或同级跳转。
  • 数据段访问：允许高特权级访问低特权级数据段，反之需通过门描述符。
  • 中断处理：中断门 / 陷阱门的 DPL 必须 ≤ CPL，以防止低特权级程序伪造中断。

3.4 中断与异常处理

保护模式采用中断描述符表（Interrupt Descriptor Table, IDT）管理中断，取代实模式的 IVT。IDT 包含 256 个中断描述符，每个描述符为 8 字节，可指向任务门、中断门、陷阱门或调用门。中断处理流程增加了特权级检查和栈切换机制：

• 当 CPL < 中断门 DPL 时，自动切换到高特权级栈（通过 TSS 描述符获取栈指针）。
• 中断返回时通过 IRET 指令恢复原特权级和栈环境。

3.5 模式切换的实现流程

从实模式切换到保护模式的典型步骤如下：

1. 初始化 GDT：创建包含代码段、数据段等必要描述符的 GDT 表，加载 GDT 基址到 GDTR 寄存器。
2. 设置 CR0 寄存器：将 PE 位置 1，开启保护模式。
3. 刷新段寄存器：通过 JMP 指令或数据访问强制重新加载段选择子，触发段描述符加载。
4. 启用分页（可选）：初始化页目录 / 页表，设置 CR3 寄存器，将 CR0 的 PG 位置 1。

关键代码示例（NASM 汇编）：

; 初始化GDT
gdt_start:
    dq 0x0000000000000000    ; 空描述符
gdt_code:
    dw 0xffff                ; 段界限低16位
    dw 0x0000                ; 段基址低16位
    db 0x00                  ; 段基址中间8位
    db 0x9a                  ; 访问权限（代码段，非一致，可执行，特权级0）
    db 0xcf                  ; 段界限高4位（G=1，粒度4KB）
    db 0x00                  ; 段基址高8位
gdt_end:

gdt_descriptor:
    dw gdt_end - gdt_start - 1 ; 表界限
    dq gdt_start              ; 表基址

; 切换至保护模式
cli                         ; 关闭中断
lgdt [gdt_descriptor]       ; 加载GDT
mov eax, cr0
or eax, 0x01               ; 设置PE位
mov cr0, eax
jmp dword 0x08:protected_mode_start ; 刷新CS寄存器

四、Linux 内核对保护模式的深度应用

4.1 内存布局与地址空间划分

Linux 在保护模式下采用 “虚拟内存” 机制，将进程的 4GB 虚拟地址空间划分为：

• 用户空间（0x00000000-0xBFFFFFFF，3GB）：每个进程独立，包含代码段、数据段、堆、栈及共享库。
• 内核空间（0xC0000000-0xFFFFFFFF，1GB）：所有进程共享，包含内核代码、数据及物理页帧映射。

内核空间分页结构：

• 页目录（PGD）、中间目录（PUD，仅 64 位）、页中间目录（PMD）、页表（PTE）构成四级分页体系。
• 内核通过 kmap () 函数将物理内存映射到内核虚拟地址空间，通过 ioremap () 映射 I/O 端口。

4.2 特权级隔离与系统调用

Linux 利用 Ring 0 与 Ring 3 的特权级差异实现内核与用户程序隔离：

• 系统调用机制：用户程序通过 int 0x80 或 syscall 指令触发特权级切换，CPU 将 CS:EIP 切换为内核代码段，同时将用户栈切换为内核栈（通过 TSS 或固定偏移）。
• 参数验证：内核通过 copy_from_user ()/copy_to_user () 函数安全传输数据，防止用户程序伪造地址越界访问。

4.3 内存保护机制实现

4.3.1 页级保护

• PTE 中的 R/W 位控制页面读写权限，X 位（NX 位，No-Execute）防止数据段执行代码（DEP 技术）。
• Linux 通过 mprotect () 系统调用修改进程虚拟地址空间的保护属性，支持读 / 写 / 执行权限的动态调整。

4.3.2 地址空间布局随机化（ASLR）

通过随机化进程的栈、堆、共享库加载地址，增加缓冲区溢出等攻击的难度。该机制通过内核参数 /proc/sys/kernel/randomize_va_space 控制。

4.4 中断与异常处理

Linux 的中断处理框架基于保护模式的 IDT 机制：

• 内核通过 set_intr_gate () 等函数注册中断处理程序，设置中断门的 DPL 为 0（仅内核态可访问）。
• 硬件中断通过 IRQ 控制器（如 PIC/APIC）路由，软件异常（如缺页异常）由内核动态处理，触发 page fault handler 分配物理页。

五、高级主题：从保护模式到现代架构

5.1 IA-32e 模式与 64 位扩展

IA-32e 模式（Intel 64 位架构）是保护模式的超集，引入以下关键特性：

• 长模式（Long Mode）：
  • 64 位线性地址，支持最大 2^48 字节地址空间（通过 PAE 扩展至物理地址 48 位）。
  • 兼容模式（Compatibility Mode）允许 32 位程序在 64 位环境运行，保持二进制兼容。
• 段机制弱化：默认情况下，段基址为 0，线性地址直接等于段偏移，分段机制仅用于兼容性场景。
• 特权级扩展：保留 Ring 0-Ring 3，但现代操作系统通常仅使用 Ring 0（内核）和 Ring 3（用户）。

5.2 安全增强技术

5.2.1 特权级保护的演进

• ** SMEP（Supervisor Mode Execution Prevention）**：禁止内核态执行用户空间代码，通过 CR4.SMEP 位启用。
• ** SMAP（Supervisor Mode Access Prevention）**：限制内核态访问用户空间内存，通过 CR4.SMAP 位启用。

5.2.2 虚拟化技术（VT-x）

保护模式为硬件虚拟化提供基础，VT-x 引入 VMX 模式，通过影子页表（Shadow Page Table）或 EPT（Extended Page Tables）实现客户机虚拟地址到物理地址的转换，同时隔离宿主机与虚拟机的特权级环境。

5.3 未来架构趋势

随着 RISC-V 等新架构的兴起，x86 架构持续优化保护机制，如：

• CET（Control-Flow Enforcement Technology）：通过影子栈（Shadow Stack）防止函数返回地址被篡改，抵御 ROP 攻击。
• MPX（Memory Protection Extensions）：引入 bounds 寄存器，实现数组越界访问的硬件检测。

总结：模式切换背后的系统哲学

实模式与保护模式的演进不仅是技术的迭代，更体现了操作系统设计的核心矛盾 —— 兼容性与安全性的平衡。实模式作为历史遗产，承载着启动引导的重任；保护模式则通过分层的内存管理和特权控制，构建了现代计算的安全基石。对于 Linux 从业者而言，深入理解这两种模式不仅是掌握内核原理的必经之路，更是洞察系统架构设计哲学的关键窗口。从段描述符的权限位到页表的访问标志，每一个硬件机制都映射着软件设计的智慧，值得用系统的视角进行持续探索。