目錄

CPL:當(dāng)前特權(quán)級

DPL:描述符特權(quán)級

RPL:請求者特權(quán)級

特權(quán)級檢查規(guī)則

代碼段的檢查規(guī)則

數(shù)據(jù)段的檢查規(guī)則

棧段的檢查規(guī)則

x86 處理器中,提供了4個特權(quán)級別:0,1,2,3。數(shù)字越小,特權(quán)級別越高!

一般來說,操作系統(tǒng)是的重要性、可靠性是最高的,需要運行在 0 特權(quán)級;

應(yīng)用程序工作在最上層,來源廣泛、可靠性最低,工作在 3 特權(quán)級別。

中間的1 和 2 兩個特權(quán)級別,一般很少使用。

理論上來講,可以把那些可靠性介于操作系統(tǒng)和應(yīng)用程序之間的程序安排在這兩個特權(quán)級上。

在處理器中,有3個相關(guān)的術(shù)語與特權(quán)級密切相關(guān):

CPL: Current Privilege Level 當(dāng)前特權(quán)級;

DPL: Descriptor Privilege Level 描述符特權(quán)級;

RPL: Requestor Privilege Level 請求特權(quán)級;

理解了這3個特權(quán)級的保護(hù)規(guī)則,就理解了操作系統(tǒng)保護(hù)系統(tǒng)的終極密碼!

CPL:當(dāng)前特權(quán)級

當(dāng)前特權(quán)級,是指當(dāng)前正在執(zhí)行的代碼的特權(quán)級別,它由當(dāng)前正在執(zhí)行的代碼段寄存器cs中的bit[1 ～ 0]來決定:

cs 寄存器中的最低兩位怎么寫的是 RPL?

原因是這樣的:我們在執(zhí)行一段代碼之前,這段代碼位于內(nèi)存中的一段空間中,而它的代碼段描述符位于LDT局部描述符表中,如下圖所示:

假設(shè)現(xiàn)在想進(jìn)入這個代碼段中執(zhí)行,那么我們就需要給代碼段寄存器 cs 賦值為:0x0007 (0000_0000_0000_0111)。

此時cs寄存器中當(dāng)前內(nèi)容的低兩位就稱作:當(dāng)前優(yōu)先級,而準(zhǔn)備賦值給cs的值是 0x0007,這個0x0007就稱作選擇子。

按照選擇子的結(jié)構(gòu)來解析:

RPL: bit[1 ～ 0] = 11B,十進(jìn)制就是 3,就表示這個選擇子的請求特權(quán)級別是 3;

TI: bit[2] = 1B,表示到 LDT 中查找段描述符;

索引號:bit[15 ～ 3] 的索引值為 0,表示到 LDT 中偏移量為 0 (0 = 0 * 4, 每個描述符占據(jù) 4 個字節(jié)) 的位置獲取段描述符;

當(dāng)處理器進(jìn)行一系列權(quán)限檢查之后,允許進(jìn)入這段代碼中去執(zhí)行,那么就設(shè)置 cs = 0x0007。

此時cs寄存器中的最低2位就等于選擇子中的 RPL,也就是 3。

在一般情況下,CPL都是等于RPL的。

DPL:描述符特權(quán)級

DPL 指的是一個段描述符中,用來指定這個描述符所代表的段,具有什么樣的特權(quán)級別。

關(guān)于描述符的結(jié)構(gòu),如下圖所示:

bit[14 ～ 13]就表示這個段描述符的特權(quán)級別。

當(dāng)請求訪問一個段時(不論是數(shù)據(jù)段,還是代碼段),處理器在GDT或者LDT中找到段描述符之后,就會把CPL、RPL與描述符中的 DPL 進(jìn)行比較。只有滿足一定的規(guī)則,才允許訪問這個描述符所指向的那個段。

具體的比較規(guī)則,下文有描述。

RPL:請求者特權(quán)級

剛才的CPL內(nèi)容中,已經(jīng)描述了RPL是什么東西,它倆是密切相關(guān)的。

但是,有時候 CPL 與 RPL 并不相同。

比如:

一個用戶程序,想通過操作系統(tǒng)提供的系統(tǒng)函數(shù),去訪問內(nèi)存中的一塊用戶程序自己的內(nèi)存空間(數(shù)據(jù)段)。

用戶程序需要告訴操作系統(tǒng):訪問哪一個數(shù)據(jù)段,偏移量是多少。

這些信息需要把一個選擇子通過操作系統(tǒng)來賦值給數(shù)據(jù)段寄存器 ds。

假設(shè)選擇子是 0x000F(二進(jìn)制:0000_0000_0000_1111):

索引號:1;

TI: 使用 LDT;

RPL: 3;

也就是說:當(dāng)操作系統(tǒng)接受用戶程序的請求之后,開始執(zhí)行系統(tǒng)函數(shù)時,此時的CPL是操作系統(tǒng)的特權(quán)級別 0。

此時操作系統(tǒng)需要把一個選擇子賦值給數(shù)據(jù)段寄存器 ds,而這個選擇子是由用戶程序作為參數(shù)傳遞給操作系統(tǒng)的。

在這個場景中:CPL = 0, RPL = 3,它倆就不相等。

操作系統(tǒng)用這個選擇子0x000F到用戶程序的LDT中,根據(jù)索引號1找到數(shù)據(jù)段描述符之后,把CPL(0)、RPL(3)與描述符中的 DPL 進(jìn)行比較,來判斷是否有權(quán)限訪問這個數(shù)據(jù)段。

用戶程序的數(shù)據(jù)段 DPL 一定是 3,這是由操作系統(tǒng)在加載程序之初就決定好的;

根據(jù)下文的特權(quán)級檢查規(guī)則,這樣的訪問是允許的;

其實這里有一個隱患:

假如用戶程序是一個惡意程序,它想破壞操作系統(tǒng)的數(shù)據(jù),于是就傳入一個指向操作系統(tǒng)數(shù)段的選擇子:0x0010(二進(jìn)制:0000_0000_0001_0000):

索引號:2(假設(shè)通過其它途徑,知道操作系統(tǒng)的某個數(shù)據(jù)段位于 GDT 的第 2 個表項);

TI: 使用 GDT;

RPL: 0;

此時,如果操作系統(tǒng)很無腦的就原樣接收了用戶程序的調(diào)用請求,就會通過GDT找到屬于操作系統(tǒng)的數(shù)據(jù)段進(jìn)行破壞性操作。

操作系統(tǒng)不會這么傻的,它在接收用戶程序請求的時候,會嚴(yán)格檢查用戶程序傳入的參數(shù)。

如果它發(fā)現(xiàn)運行在 3 特權(quán)級的用戶程序,傳入一個 0 特權(quán)級的 RPL,就會警覺:請求特權(quán)級竟然比你自己的運行特權(quán)級還高,你想干什么?

于是,操作系統(tǒng)就會把選擇子中的RPL修改為用戶程序的當(dāng)前特權(quán)級 CPL。

就好比:一個村長去找市長辦事,訴求是:想在自己村的集體土地上蓋一座廠房。市長認(rèn)為:這是你們村自己的土地,你可以隨便折騰,準(zhǔn)許。

但是,如果村長的訴求是:想在市民廣場的旁邊蓋一座廠房。此時市長就會呵斥:這個地方不是你們村的一畝三分地,想干啥就干啥,滾開!

特權(quán)級檢查規(guī)則 代碼段的特權(quán)級檢查

一般情況下,只允許兩個特權(quán)級相同的代碼段進(jìn)行轉(zhuǎn)移。

例如:

從用戶程序的一個代碼段(CPL = 3),跳轉(zhuǎn)到另一個 DPL = 3 的代碼段;

從操作系統(tǒng)的一個代碼段(CPL = 0),跳轉(zhuǎn)到另一個 DPL = 0 的代碼段;

但是處理器也提供了一些特殊途徑,讓低特權(quán)級的代碼可以轉(zhuǎn)移到高特權(quán)級的代碼中去執(zhí)行:

如果在高特權(quán)級代碼段描述中的 TYPE 字段中,C = 1,就允許低特權(quán)級的代碼轉(zhuǎn)移進(jìn)來;

通過調(diào)用門,低特權(quán)級代碼也可以轉(zhuǎn)移到高特權(quán)級的代碼段;

這里主要描述第一種情況,也就是當(dāng)目標(biāo)代碼段描述符的TYPE字段中 C = 1,也就是所謂的依從代碼,或者一致性代碼。

也即是說:如果 TYPE．C = 1,那么處理器就允許:比這個描述符的 DPL 更低特權(quán)級的代碼,轉(zhuǎn)移到這個代碼中來執(zhí)行。

在數(shù)值上就是:(特權(quán)級越低,數(shù)值越大)

CPL >= DPL

RPL >= DPL

例如:操作系統(tǒng)中有2個代碼段,它們的描述符中的C標(biāo)志位不同:

此刻正在執(zhí)行一個用戶程序: CPL = 3。

那么用戶程序就可以轉(zhuǎn)移到代碼段 2中去執(zhí)行,不可以轉(zhuǎn)移到代碼 1中。

并且,轉(zhuǎn)移到操作系統(tǒng)的代碼段2 之后,當(dāng)前特權(quán)級CPL保持不變,仍然為 3。

有兩個類比:

1． 類似于 Linux 中的 sudo 指令

如果一條指令需要root權(quán)限,我們可以使用su -指令,把身份轉(zhuǎn)換到 root,然后再去執(zhí)行。

此時所有的身份、環(huán)境變量等信息,都是root用戶的。

我們還可以直接使用sudo指令,這時就相當(dāng)于是臨時提升了用戶的權(quán)限,但是那些環(huán)境變量等信息,依然是當(dāng)前用戶的,而不是 root 用戶的。

2． 村長找市長辦貸款

村長去市里的銀行申請貸款,但是自己的權(quán)力不夠,銀行不鳥他,于是村長就去找市長幫忙。

于是,市長就給村長一個親筆介紹信,村長帶著這封信到銀行之后,銀行一看:有市長大人的背書,于是就給村長辦理貸款手續(xù)了。

但是,在辦理手續(xù)的過程中,所有需要簽字的地方,只能寫村長自己(特權(quán)級不變),而不能寫市長的名字。

另外,對于上圖中的代碼段1,由于其C標(biāo)志位是 0,只能允許相同特權(quán)級的程序轉(zhuǎn)移進(jìn)來,從數(shù)值上表示就是:

CPL == DPL

RPL == DPL

最后還有一點需要記住:高特權(quán)級的代碼,永遠(yuǎn)都不能轉(zhuǎn)移到低特權(quán)級的代碼。就好比:市長永遠(yuǎn)都不會以村長的身份去辦事。

數(shù)據(jù)段的特權(quán)級檢查

數(shù)據(jù)段的特權(quán)級檢查規(guī)則比較簡單:高特權(quán)級的程序,可以訪問低特權(quán)級的數(shù)據(jù),反之不可以。

從數(shù)值上表示就是:

CPL <= DPL

RPL <= DPL

棧段的特權(quán)級檢查

棧段的特權(quán)級檢查規(guī)則,也比較簡單,x86 處理器要求當(dāng)前特權(quán)級 CPL 必須與目標(biāo)棧段的 DPL 相同。

從數(shù)值上表示就是:

CPL == DPL

RPL == DPL

為了滿足這個要求,當(dāng)從用戶程序(CPL = 3)轉(zhuǎn)移到操作系統(tǒng)(DPL = 0)時,如果是通過依存(一致性)代碼段轉(zhuǎn)移進(jìn)去,當(dāng)前特權(quán)級是不變的,此時使用的棧仍然是用戶程序的�？臻g。

如果是通過其他途徑轉(zhuǎn)移進(jìn)去(eg: 調(diào)用門),當(dāng)前特權(quán)級發(fā)生了變化(CPL = 0),此時使用的棧就必須是 0 特權(quán)級下的棧空間了。

因此,操作系統(tǒng)在加載這個用戶程序的時候,就需要提前申請一塊�？臻g,以準(zhǔn)備在以上這樣的場景中使用。

在Linux系統(tǒng)中,只用了0 和 3這兩個特權(quán)級,因此每一個用戶程序只需要提前準(zhǔn)備好0特權(quán)級下使用的棧就可以了。

如果一個操作系統(tǒng)使用了0 ～ 3所有的四個特權(quán)級,那么操作系統(tǒng)就必須為:運行在3特權(quán)級下的用戶程序準(zhǔn)備3個�？臻g,用于該用戶程序轉(zhuǎn)移到特權(quán)級 0、1、2 下作為棧空間來使用。