Intel MPK介绍

最新推荐文章于 2025-05-15 11:26:33 发布
最新推荐文章于 2025-05-15 11:26:33 发布
阅读量2.8k 收藏 3
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42557044/article/details/129384359
版权

Intel MPK (Memory Protection Keys)

MPK是一种用户空间基于页的内存权限管理机制。

标记

将页表条目中预留的4个位用于"protection key",最多可以提供16个key来标记内存页 (0000~1111)。
在这里插入图片描述

权限控制

PKRU (protection key rights for user pages) 是一个32位的寄存器,用于存储每个key的访问权限。每个key具有两个对应的位(访问禁止写禁止)。这些权限仅在数据访问时强制执行,而对指令提取无效。

在这里插入图片描述
指令RDPKRUWRPKRU分别用于读和写PKRU,这两条指令都不是特权指令,在用户空间运行,不需要上下文切换,开销小(20cycles左右)。

硬件支持情况

在这里插入图片描述

与系统调用mprotect区别:

  1. 更新PKRU不需要系统调用,比mprotect快很多(MPK在标记页的时候需要进行系统调用)。
  2. MPK的保护时线程本地的,不同线程的访问权限可能不一致,与对应的PKRU有关,而mprotect会影响整个进程。

https://community.intel.com/legacyfs/online/drupal_files/managed/a4/60/325384-sdm-vol-3abcd.pdf
https://www.kernel.org/doc/html/latest/core-api/protection-keys.html
https://charlycst.github.io/posts/mpk/
https://mstmoonshine.github.io/p/intra-unikernel-mpk/

XiaoHongyong
关注
linux内核那些事之Memory protection keys(硬件原理)
weixin_42730667的博客
11-19 3063
mprotect/map原理及缺陷 《linux 关于虚拟内存的几个系统调用》,提及到用户程序可以通过mprotect或者map(MAP_FIXED)系统调用可以根据需要再次修改已经申请过的进程内存的访问权限,其修改原理主要就是申请page table entry中的读写权限,以一个经典的X86 64 entry为例: 每次通过mprotect/map修改权限时,都会修改地址转换表中相对应的的page table entry中的R/W。由于通常CPU地址转换是以page(4K)大小为单位,所以每次.
为何大部分的 C++ 开发者搞不定内存安全问题?C++23 给出答案
weixin_45715405的博客
03-18 42
作为一名深耕C++多年的技术专家,我深知内存安全问题如同潜伏在代码中的定时炸弹,随时可能引发程序崩溃甚至安全漏洞。无论是缓冲区溢出还是未初始化内存访问,这些经典问题困扰着一代又一代开发者。然而,随着C++23的到来,一系列内存安全特性为我们提供了全新的防护手段。想象一下,如果能在编译期就杜绝内存错误的隐患,同时保持C++一贯的高性能,这会如何改变你的开发体验?本文将通过具体案例对比优化前后的代码,剖析C++23的核心特性及其底层原理,并分享我的独到见解,带你彻底掌握这一安全编码范式。
Memory Protection Keys
warmmingm的博客
11-25 1262
Intel MPK 是一个有效的提供数据权限隔离的手段,并且性能十分地高效,切换权限仅需要 20 个左右的 CPU 指令周期。可是挑战在于:1)MPK 只能针对用户态的页,该如何用在特权模式下做同级隔离;2)当应用程序调用内核函数时,权限切换该如何设计;3)MPK 不能够控制内存页的可执行权限,该如何防止 ROP[39]等类似的代码复用攻击。
MAX/MSP SDK学习06:内存管理
坚持学习
11-22 199
MAX/MSP SDK学习06:内存管理
页面保护
weixin_44395686的博客
04-04 757
原文地址 Page Protection Keys 页面保护 Page Protection Keys(页面保护键) 由于写入错误,内存损坏是复杂的多线程应用程序的问题。 例如,并非数据库应用程序中的代码的每个部分都需要具有相同的特权级别。 日志编写器应具有对日志缓冲区的写特权,但在其他页面上应仅具有读特权。 同样,在具有用于某些关键数据结构的生产者线程和消费者线程的应用程序中,生产者线程可以被赋...
论文悦读(3)——NVM文件系统之ZoFS(SOSP‘19)文件系统
不定期更新系统使用、编程小技巧,哔哩哔哩账号:https://space.bilibili.com/399455629,欢迎关注
04-20 1741
ZoFS(SOSP’19)是一款NVM用户态文件系统,其最主要的贡献在于提出了一种能让用户态NVM文件系统在用户态进行元数据修改的方法。
LWN:更加高效地保护内存不被kernel篡改!
Linux News搬运工
08-03 997
关注了就能看到更多这么棒的文章哦~Memory protection keys for the kernelByJonathan CorbetJuly 21, 2020https://...
openEuler intel-kernel用于启用下一代Intel平台功能 它为英特尔对openEuler软件栈的新平台支持奠
02-27
针对Intel硬件的安全特性,如SGX(Software Guard Extensions)和MPK(Memory Protection Keys),内核提供了相应的支持,以增强数据保护和隔离。同时,内核还集成了一些安全补丁,以防御潜在的硬件层面的攻击。 在...
天翼云V5新品发布:基于Intel Skylake V5的高性能ECS实例
不同的加密工作负载可能会有不同的性能提升效果,Intel 正在深入研究如何更好地利用MPK来优化特定的加密业务场景。 新一代V5实例基于KVM虚拟化技术,这意味着它可以提供更高的计算性能,大约比上一代提升15%,对于...
硬件驱动新软件革命:Intel安全扩展的挑战与未来影响
近年来,英特尔架构师们通过引入一系列如MPX、SGX、MPK和CET这样的指令集扩展(Instruction Set Extensions, ISEs),试图通过提供新的安全特性来推动CPU市场。这些新扩展与之前的大部分专注于用户模式数据处理加速...
论文悦读(5)——NVM文件系统之CtFS(FAST‘22)文件系统
不定期更新系统使用、编程小技巧,哔哩哔哩账号:https://space.bilibili.com/399455629,欢迎关注
06-24 1046
本文聚焦于索引开销问题,利用连续虚拟地址空间将索引开销offload至硬件MMU,从而大大减少索引开销。然而,如何分配虚拟地址空间以管理文件仍是一个待解决的挑战(虽然好像已经解决了,而且看起来更高效),本文通过类似伙伴分配器的方法高效管理虚拟地址空间,并使用PPT完成页表映射。基于PPT,提出pswap()方法实现一致性操作以及文件大小增减操作。文章从问题、动机到解决方案、挑战到评估测试整套流程工整完整,值得学习。需要说明的是虽然本文思路简单,然而实现起来并不简单。
Harmonzing Performance and Isolation in Microkernels论文阅读
weixin_38849460的博客
12-05 822
Harmonizing Performance and Isolation in Microkernels with Efficient Intra-kernel Isolation and Communication论文阅读总结 一.摘要 本文提出了一个新的设计方案UnderBridge机制,在运行时UnderBridge在用户空间和内核空间移动操作系统组件。 本文还对内核空间的英特尔用户空间内存保护密钥(PKU)进行了改造,以有效实现隔离,并且设计了一种跨操作系统的快速IPC机制。 ...
32 块大小_IA-32系统总体架构
weixin_36289211的博客
01-01 299
在看文章前可以先看下这个,吴海波:专栏的序。先有个大概的认识会对阅读有所帮助。在正式的介绍硬件提供的分段,分页,任务管理,中断异常处理,高速缓存控制这些内容之前,我们先对IA-32的整体框架梳理下。看不懂也没有关系,后面每篇文章都会对其中的一部分进行较为细致的分析。整体来说IA-32架构的可以提供如下几块功能:1.内存管理;2.软件模块的保护;3.多任务处理;4.异常和中断处理;5.多核;6.缓存...
X86系统寄存器(初始化系统,控制系统操作)
stupid_haiou的专栏
06-12 4200
一、系统寄存器 1. EFLAGS 寄存器 ① 存放system flags和IOPL; ②控制任务切换和模式切换,处理终端,指令追踪; 2.控制寄存器(CR0,CR2,CR3,CR4) ①控制系统级操作; ②支撑操作系统某些特性; 3.GDTR/LDTR/IDTR ①记录了GDT/LDT/IDT表的线性基址和大小; 4. 任务寄存器(task
Linux mem 1.3 分页寻址(Paging)机制详解
pwl999的博客
11-02 4587
文章目录1. X86手册定义1.1 paging modes1.2 `4-LEVEL PAGING`和`5-LEVEL PAGING`模式1.2.1 `4-LEVEL PAGING`1.2.2 CR3 format1.2.3 PML5/PGD entry format1.2.4 PML4/P4D entry format1.2.5 PDPT/PUD entry format (1-GByte Page)1.2.6 PDPT/PUD entry format (Page Directory)1.2.7 PD/
汇编命令大全及简例
对酒当歌,人生几何
03-20 1812
[b]一、常用的指令----------------------------------------------------------[/b] AAA 未组合的十进制加法调整指令 AAA(ASCII Adgust for Addition) 格式: AAA 功能: 对两个组合的十进制数相加运算(存在AL中)的结果进行调整,产生一个未组合的十进制数放在AX中. 说明: 1. 组合的...
NASM 全部指令「第二部分」
Kuang Da's Blog
02-11 1096
NASM 全部指令「第二部分」B.1.41 AVX-512 instructionsB.1.42 Intel memory protection keys for userspace (PKU aka PKEYs)B.1.43 Read Processor IDB.1.44 New memory instructionsB.1.45 Processor trace writeB.1.46 Instructions from the Intel Instruction Set Extensions,B.1.4
PHP API安全设计四要素:构建坚不可摧的接口防护体系
每日一贴
05-11 786
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
安全巡检清单
最新发布
yh
05-15 767
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值