1 KPTI概述

KPTI(Kernel PageTable Isolation)全稱(chēng)內(nèi)核頁(yè)表隔離。KPTI是由KAISER補(bǔ)丁修改而來(lái)。之前，進(jìn)程地址空間被分成了內(nèi)核地址空間和用戶地址空間。其中內(nèi)核地址空間映射到了整個(gè)物理地址空間，而用戶地址空間只能映射到指定的物理地址空間。內(nèi)核地址空間和用戶地址空間共用一個(gè)頁(yè)全局目錄表(PGD表示進(jìn)程的整個(gè)地址空間)，meltdown漏洞就恰恰利用了這一點(diǎn)。攻擊者在非法訪問(wèn)內(nèi)核地址和CPU處理異常的時(shí)間窗口，通過(guò)訪存微指令獲取內(nèi)核數(shù)據(jù)。為了徹底防止用戶程序獲取內(nèi)核數(shù)據(jù)，可以令內(nèi)核地址空間和用戶地址空間使用兩組頁(yè)表集(也就是使用兩個(gè)PGD)。

圖1 修改后的進(jìn)程地址空間

2 問(wèn)題

當(dāng)然事情并沒(méi)有那么簡(jiǎn)單，有兩個(gè)問(wèn)題：

問(wèn)題1： X86架構(gòu)中，在上下文切換的間隙（注意是間隙）內(nèi)存中的一部分需要對(duì)內(nèi)核空間和用戶空間都是有效的，也就是說(shuō)在切換CR3之前內(nèi)核就要開(kāi)始工作了。

問(wèn)題2：修改CR3時(shí)，CPU會(huì)沖刷TLB，從而帶來(lái)很大的性能問(wèn)題

3 KPTI實(shí)現(xiàn)機(jī)制

在KAISER的論文中針對(duì)這兩個(gè)問(wèn)題，提出了以下解決方案

3.1 影子地址空間(Shadow Address Spaces)

KPTI中每個(gè)進(jìn)程有兩個(gè)地址空間，第一個(gè)地址空間只能在內(nèi)核態(tài)下訪問(wèn)，可以創(chuàng)建到內(nèi)核和用戶的映射（不過(guò)用戶空間受SMAP和SMEP保護(hù)，具體可查詢Intel手冊(cè)）。第二個(gè)地址空間被稱(chēng)為影子地址空間，只包含用戶空間。不過(guò)由于涉及到上下文切換，所以在影子地址空間中必須包含部分內(nèi)核地址，用來(lái)建立到中斷入口和出口的映射。

當(dāng)中斷在用戶態(tài)發(fā)生時(shí)，就涉及到切換CR3寄存器，從影子地址空間切換到用戶態(tài)的地址空間。中斷上半部的要求是盡可能的快，從而切換CR3這個(gè)操作也要求盡可能的快。為了達(dá)到這個(gè)目的，KAISER中將內(nèi)核空間的PGD和用戶空間的PGD連續(xù)的放置在一個(gè)8KB的內(nèi)存空間中。這段空間必須是8K對(duì)齊的，這樣將CR3的切換操作轉(zhuǎn)換為將CR3值的第13位(由低到高)的置位或清零操作，提高了CR3切換的速度。

用戶空間和內(nèi)核空間的PGD分布示意圖

3.2 內(nèi)核空間的最小映射

上文提到，在從影子地址空間切換到內(nèi)核地址空間的過(guò)程中，為了使得內(nèi)核在CR3切換之前就能夠開(kāi)始工作，影子地址空間必須包含部分內(nèi)核地址空間。

如下圖所示，陰影處就是在陷入內(nèi)核態(tài)過(guò)程中，需要映射的內(nèi)核數(shù)據(jù)和代碼。圖a 是常規(guī)OS的進(jìn)程的地址空間。圖b和圖c是頁(yè)表隔離后的進(jìn)程地址空間，兩者的區(qū)別再與是否使用了SMAP和SMEP機(jī)制。

那么如何確定影子地址空間應(yīng)該映射那些內(nèi)核數(shù)據(jù)呢？由于中斷可能發(fā)生在用戶態(tài)，所以應(yīng)該包含中斷向量表（IDT），中斷棧，中斷向量。另外內(nèi)核棧，GDT和TSS也應(yīng)該映射到影子地址空間。

4 性能與開(kāi)銷(xiāo)（performance and overhead）

4.1 TLB

在intel手冊(cè)中提到，線性地址的高位被稱(chēng)為頁(yè)號(hào)(page number)，低位被稱(chēng)為頁(yè)偏移（page offset, 如果頁(yè)大小是4K則是低12位）。物理地址的高位被稱(chēng)為頁(yè)框（page frame）。

TLB用于加速?gòu)木€性地址到物理地址的轉(zhuǎn)換，本質(zhì)上還是一種緩存。TLB使用頁(yè)號(hào)來(lái)獲取線性地址所對(duì)應(yīng)的頁(yè)的基地址。TLB中的每一項(xiàng)包含以下內(nèi)容：

頁(yè)號(hào)對(duì)應(yīng)頁(yè)的物理地址

頁(yè)的訪問(wèn)權(quán)限（R/W，U/S ）

頁(yè)屬性（dirty flag，memory type）

圖4-1 基于TLB的訪存過(guò)程

一個(gè)處理器可能包含不同類(lèi)型的TLB，比如專(zhuān)用于取指令的TLB和用于數(shù)據(jù)訪問(wèn)的TLB

切換CR3時(shí)，CPU會(huì)隱式的沖刷TLB。TLB的miss penalty可以達(dá)到10 – 100 個(gè) 時(shí)鐘周期（clock cycles）。內(nèi)存中的一些頁(yè)（比如共享庫(kù)）的一些頁(yè)是由所有的進(jìn)程共享的。這些頁(yè)由頁(yè)表項(xiàng)的全局位（G）來(lái)標(biāo)示。共享頁(yè)并不會(huì)參與TLB的隱式?jīng)_刷。

有兩種方法防止數(shù)據(jù)的泄露，第一種需要沖刷整個(gè)TLB，而第二種則是禁用頁(yè)表項(xiàng)的全局位。

通過(guò)PCID的使用可以緩解由于沖刷TLB帶來(lái)的性能問(wèn)題。

4.2 Process-Context Identifiers（PCID）

PCID全稱(chēng)進(jìn)程上下文標(biāo)示符，CR4寄存器的PCIDE位表示是否啟用CPU的PCID功能。PCIDE=1表示啟用PCID。啟用之后，CR3（頁(yè)目基址寄存器）的低12位用來(lái)存儲(chǔ)PCID。每個(gè)進(jìn)程都有一個(gè)PCID，當(dāng)未啟用PCID時(shí)，CR3的低12位為全0（000H）。

Intel手冊(cè)對(duì)于TLB失效的行為作出了很詳細(xì)的解釋?zhuān)谑褂胢ov指令修改CR3時(shí)會(huì)使TLB失效（mov to CR3），具體行為如下：

如果CR4.PCIDE = 0（表示未啟用PCID），CPU會(huì)使所有與PCID 000H關(guān)聯(lián)的TLB緩存項(xiàng)(TLB entry)失效，除了全局頁(yè)。

如果CR4.PCIDE = 1（啟用PCID），并且源操作數(shù)的第63位=0，源操作數(shù)的0-11位為指定的PCID。那么CPU會(huì)使所有與指定PCID關(guān)聯(lián)的TLB緩存項(xiàng)失效。TLB中與其他PCID關(guān)聯(lián)的TLB緩存項(xiàng)并不會(huì)失效。

如果CR4.PCIDE=1，并且源操作數(shù)的第63位=1，CPU不會(huì)對(duì)TLB做任何的失效操作。

5 代碼分析

我們選取linux4.15版本作為演示，說(shuō)明KPTI補(bǔ)丁的內(nèi)核中的分布這是4.15版本和PTI（pagetable isolation）有關(guān)的diff stat. 可以看到共涉及到45個(gè)文件的修改，插入了1636行代碼，刪除202行代碼。

增加代碼行數(shù)的前三名是

mm/pti.c

arch/x86/include/asm/tlbflush.h

arch/x86/entry/calling.h

5.1 arch/x86/mm/pti.c

pti.c是補(bǔ)丁新增的文件. 其中的入口函數(shù)是pti_init(), 該函數(shù)在init/main.c中的mm_init()函數(shù)中調(diào)用。這個(gè)文件中的函數(shù)總共分為兩種，第一種類(lèi)似pti_clone_user_shared()，將內(nèi)核的頁(yè)表項(xiàng)復(fù)制到用戶空間。第二種類(lèi)似pti_user_pagetable_walk_p4d(unsigned long address)，根據(jù)參數(shù)中的虛擬地址,得到該地址相應(yīng)的頁(yè)表項(xiàng)指針。

void __init pti_init(void)

{

if(!static_cpu_has(X86_FEATURE_PTI))

return;

pr_info("enabled\n");

pti_clone_user_shared();

pti_clone_entry_text();

pti_setup_espfix64();

pti_setup_vsyscall();

}

5.2 arch/x86/include/asm/tlbflush.h

該文件包含一系列的有關(guān)TLB flush的函數(shù)在KPTI中并不僅僅使用PCID，由于內(nèi)核中的進(jìn)程地址空間標(biāo)示符必須從0開(kāi)始。所以ASID是地址空間真正的標(biāo)示符。又因?yàn)檠a(bǔ)丁中進(jìn)程的地址空間有兩個(gè)部分，所以我們需要兩個(gè)PCID。kPCID內(nèi)核空間使用的標(biāo)示符。uPCID用戶空間使用的標(biāo)示符。

* ASID -[0, TLB_NR_DYN_ASIDS-1]

* the canonical identifier for an mm

*

* kPCID -[1, TLB_NR_DYN_ASIDS]

* the value we write into the PCID part of CR3; corresponds to the

* ASID+1, because PCID 0 is special.

*

* uPCID -[2048+1,2048+ TLB_NR_DYN_ASIDS]

* for KPTI each mm has two address spaces and thus needs two

* PCID values, but we can still do with a single ASID denomination

* for each mm.Corresponds to kPCID +2048.

#define CR3_HW_ASID_BITS 12

# define PTI_CONSUMED_PCID_BITS 1

/*

* 6 because 6 should be plenty and struct tlb_state will fit in two cache

* lines.

*/

#define TLB_NR_DYN_ASIDS 6

5.3 /arch/x86/entry/calling.h

calling.h 是系統(tǒng)調(diào)用的入口函數(shù)，用于處理系統(tǒng)調(diào)用時(shí)的寄存器保存操作。系統(tǒng)調(diào)用涉及到由用戶態(tài)到內(nèi)核態(tài)的切換。所以calling.h需要修改。

以下一系列的匯編宏指令涉及到用戶PGD和內(nèi)核PGD的切換. 下面我們挑選幾個(gè)宏進(jìn)行說(shuō)明：

1. SWITCH_TO_KERNEL_CR3

該宏的任務(wù)是清楚CR3存儲(chǔ)的PCID，并將CR3的第13置1，從而使其指向內(nèi)核PGD

.macro SWITCH_TO_KERNEL_CR3 scratch_reg:req

ALTERNATIVE "jmp .Lend_\@","", X86_FEATURE_PTI

mov %cr3, \scratch_reg

ADJUST_KERNEL_CR3 \scratch_reg

mov \scratch_reg,%cr3

.Lend_\@:

.endm

2. SWITCH_TO_USER_CR3_NOSTACK該宏的任務(wù)是根據(jù)進(jìn)程的ASID判斷其TLB是否需要flush, 如果不需要就在CR3中標(biāo)記為no_flush。隨后將kPCID轉(zhuǎn)換為uPCID，并使CR3指向用戶PGD。這一切都在很短的時(shí)間內(nèi)發(fā)生，因?yàn)樗鼈冎皇菍?duì)CR3寄存器的置位操作。

.macro SWITCH_TO_USER_CR3_NOSTACK scratch_reg:req scratch_reg2:req

ALTERNATIVE "jmp .Lend_\@","", X86_FEATURE_PTI

mov %cr3, \scratch_reg

ALTERNATIVE "jmp .Lwrcr3_\@","", X86_FEATURE_PCID

/*

* Test if the ASID needs a flush.

*/

movq \scratch_reg, \scratch_reg2

andq $(0x7FF), \scratch_reg /* mask ASID */

bt \scratch_reg, THIS_CPU_user_pcid_flush_mask

jnc .Lnoflush_\@

/* Flush needed, clear the bit */

btr \scratch_reg, THIS_CPU_user_pcid_flush_mask

movq \scratch_reg2, \scratch_reg

jmp .Lwrcr3_pcid_\@

.Lnoflush_\@:

movq \scratch_reg2, \scratch_reg

SET_NOFLUSH_BIT \scratch_reg

.Lwrcr3_pcid_\@:

/* Flip the ASID to the user version */

orq $(PTI_USER_PCID_MASK), \scratch_reg

.Lwrcr3_\@:

/* Flip the PGD to the user version */

orq $(PTI_USER_PGTABLE_MASK), \scratch_reg

mov \scratch_reg,%cr3

.Lend_\@:

.endm