页表管理
AArch64 中提供了 TTBR0_EL1 和 TTBR1_EL1 两个页表基地址寄存器。
TTBR0_EL1 供用户态使用,进程上下文切换时会刷新。 TTBR1_EL1 供内核态使用,进程上下文切换时不会刷新。 这俩寄存器负责的虚拟地址�范围可以通过 TCR_EL1 寄存器指定。一种方法是根据虚拟地址第 63 位的值决定,为 0 的话用 TTBR0_EL1,否则用 TTBR1_EL1。
老版问题: AArch64 采用了两个页表基地址寄存器,相较于 x86-64 架构中只有一个页表基地址寄存器,这样的好处是什么?
分离用户态和内核态的寄存器使得在系统调用过程时不需要切换页表,因此也避免了 TLB 刷新的开销。
x86-64 体系仅提供一个页表基地址寄存器 CR3。但内核不使用单独的页表,而是把自己映射到应用程序的高地址部分,以此也避免了系统调用过程中造成的页表切换。
chcore之中页表管理模块最核心的部分是下面的数据结构
// clang-format off
/* table format, which cannot be recognized by clang-format 1.10 */
typedef union {
struct {
u64 is_valid : 1,
is_table : 1,
ignored1 : 10,
next_table_addr : 36,
reserved : 4,
ignored2 : 7,
PXNTable : 1, // Privileged Execute-never for next level
XNTable : 1, // Execute-never for next level
APTable : 2, // Access permissions for next level
NSTable : 1;
} table;
struct {
u64 is_valid : 1,
is_table : 1,
attr_index : 3, // Memory attributes index
NS : 1, // Non-secure
AP : 2, // Data access permissions
SH : 2, // Shareability
AF : 1, // Accesss flag
nG : 1, // Not global bit
reserved1 : 4,
nT : 1,
reserved2 : 13,
pfn : 18,
reserved3 : 2,
GP : 1,
reserved4 : 1,
DBM : 1, // Dirty bit modifier
Contiguous : 1,
PXN : 1, // Privileged execute-never
UXN : 1, // Execute never
soft_reserved : 4,
PBHA : 4; // Page based hardware attributes
} l1_block;
struct {
u64 is_valid : 1,
is_table : 1,
attr_index : 3, // Memory attributes index
NS : 1, // Non-secure
AP : 2, // Data access permissions
SH : 2, // Shareability
AF : 1, // Accesss flag
nG : 1, // Not global bit
reserved1 : 4,
nT : 1,
reserved2 : 4,
pfn : 27,
reserved3 : 2,
GP : 1,
reserved4 : 1,
DBM : 1, // Dirty bit modifier
Contiguous : 1,
PXN : 1, // Privileged execute-never
UXN : 1, // Execute never
soft_reserved : 4,
PBHA : 4; // Page based hardware attributes
} l2_block;
struct {
u64 is_valid : 1,
is_page : 1,
attr_index : 3, // Memory attributes index
NS : 1, // Non-secure
AP : 2, // Data access permissions
SH : 2, // Shareability
AF : 1, // Accesss flag
nG : 1, // Not global bit
pfn : 36,
reserved : 3,
DBM : 1, // Dirty bit modifier
Contiguous : 1,
PXN : 1, // Privileged execute-never
UXN : 1, // Execute never
soft_reserved : 4,
PBHA : 4, // Page based hardware attributes
ignored : 1;
} l3_page;
u64 pte;
} pte_t;
// clang-format on
这里用了c的bit field语法,将不同level上pte的结构展示了出来,同时也方便了数据访问,而不用定义非常多的宏
bit field语法ref: https://icarus.cs.weber.edu/~dab/cs1410/textbook/5.Structures/unions.html
可能需要注意的是,位字段和基于它们的任何数据转换都是依赖于系统的,并且不能跨操作系统、硬件或两者移植。(指bitfield的顺序(大小端等),大小不是可移植的)
ref: https://stackoverflow.com/questions/25345691/bit-fields-portability
anyway, 有了这个基础表示之后,剩下的页表分配和xv6基本相同
相对独特的部分是set_pte_flag
static int set_pte_flags(pte_t *entry, vmr_prop_t flags, int kind)
{
BUG_ON(kind != USER_PTE && kind != KERNEL_PTE);
/*
* Current access permission (AP) setting:
* Mapped pages are always readable (No considering XOM).
* EL1 can directly access EL0 (No restriction like SMAP
* as ChCore is a microkernel).
*/
entry->l3_page.AP = __vmr_prot_to_ap(flags);
if (kind == KERNEL_PTE) {
// kernel PTE
if (!(flags & VMR_EXEC))
// 如果没有指定flags任意权限(读,写,...)或者此段虚拟内存没有执行权限
// pte权限设置为内核不可执行
entry->l3_page.PXN = AARCH64_MMU_ATTR_PAGE_PXN;
// 内核kind下pte user不可执行
entry->l3_page.UXN = AARCH64_MMU_ATTR_PAGE_UXN;
} else {
// User PTE
if (!(flags & VMR_EXEC))
entry->l3_page.UXN = AARCH64_MMU_ATTR_PAGE_UXN;
// EL1 cannot directly execute EL0 accessiable region.
// user kind下内核亦不可执行
entry->l3_page.PXN = AARCH64_MMU_ATTR_PAGE_PXN;
}
// Set AF (access flag) in advance.
entry->l3_page.AF = AARCH64_MMU_ATTR_PAGE_AF_ACCESSED;
// Mark the mapping as not global
entry->l3_page.nG = 1;
// Mark the mappint as inner sharable
entry->l3_page.SH = INNER_SHAREABLE;
// Set the memory type
if (flags & VMR_DEVICE) {
entry->l3_page.attr_index = DEVICE_MEMORY;
entry->l3_page.SH = 0;
} else if (flags & VMR_NOCACHE) {
entry->l3_page.attr_index = NORMAL_MEMORY_NOCACHE;
} else {
entry->l3_page.attr_index = NORMAL_MEMORY;
}
#ifdef CHCORE_OPENTRUSTEE
if (flags & VMR_TZ_NS) {
entry->l3_page.NS = AARCH64_MMU_ATTR_PAGE_NS_NON_SECURE;
}
#endif /* CHCORE_OPENTRUSTEE */
return 0;
}
其中几个安全名词
**SMAP(Supervisor Mode Access Prevention):**SMAP是ARM架构中的一项安全功能,可防止管理模式(类似于EL1)在未经适当检查的情况下直接访问用户模式内存(类似于EL0)。这有助于防止特权提升攻击,其中在EL0处运行的恶意程序可能尝试访问属于EL1处的OS的敏感数据。声明“No restriction like SMAP”意味着,在这种配置中,EL1可以直接访问EL0内存,而不受通常的SMAP限制。这是另一个重大的安全风险。
**XOM(仅执行内存):**XOM是一种内存保护功能,可防止代码从标记为仅数据的内存区域执行。这是一种重要的安全机制,可以缓解缓冲区溢出攻击和其他攻击者可能试图将恶意代码注入数据区的漏洞。声明“No considering XOM”意味着,在这个特定的配置中,系统不强制执行仅限内存的限制。这是一个重大的安全风险。
之后
query_in_pgtbl、map_range_in_pgtbl_common、unmap_range_in_pgtbl
就是软件遍历pagetable的n重循环(n=levels),在中间判断 valid 和是否 超级块(block/table) 即可
思考题6: 粗粒度页表的问题:
- 安全性:所有的代码的pte相关权限并没有被正确设置和管理
- 内存占用: 使得许多优化无法展开,vm大小直接对应pm大小,加大内存占用