提供了用于在環轉變期間保護棧的處理器擴展的處理器實現的技術。在一個實施例中，處理器包括多個寄存器以及處理器核，該處理器核可操作地耦合至該多個寄存器。多個寄存器用于存儲在特權等級轉變中使用的數據。多個寄存器中的每個寄存器與特權等級相關聯。接收用于將當前活動應用的第一特權等級改變為第二特權等級的指示符。考慮到第二特權等級，選擇存儲在多個寄存器中的寄存器中的影子棧指針(SSP)。該寄存器與第二特權等級相關聯。通過使用SSP，標識用于由處理器在第二特權等級使用的影子棧。

技術領域

本公開的實施例一般涉及微處理器，并且更具體地但非限制地涉及用于在環轉變期間保護棧的處理器擴展。

背景技術

面向返回的編程(ROP)是計算機安全利用技術，其中攻擊者使用軟件控制來執行攻擊者選擇的指令序列。在ROP攻擊中，攻擊者可將被稱作“小配件(gadget)”的序列鏈接在一起。每個小配件可表示一條或一些指令的集合，跟隨其后的是從過程指令的返回。攻擊者可分析代碼以定位或標識期望的小配件，該代碼諸如應用、系統級代碼、驅動程序、庫等。在一些情況下，攻擊者可能能夠標識充足的小配件，從而能夠將各種不同的惡意動作串在一起，并執行這些惡意動作。

附圖說明

通過下文給出的具體實施方式并通過本公開各種實施例的附圖，將更完整地理解本公開。然而，不應當認為這些附圖將本公開限制為特定實施例，而是這些附圖僅用于說明和理解。

圖1圖示出根據一個實施例的用于支持用于在環轉變期間保護棧的處理器擴展的處理設備的框圖。

圖2圖示出根據一個實施例的用于支持用于在環轉變期間保護棧的處理器擴展的包括存儲器的系統。

圖3圖示出根據一個實施例的用于作為中斷遞送的部分的切換棧的包括圖2的存儲器的系統。

圖4圖示出根據一個實施例的用于作為任務切換的部分的切換棧的包括圖2的存儲器的系統。

圖5圖示出根據一個實施例的在特權轉移時切換棧的方法的流程圖。

圖6A是圖示出根據一個實施例的處理器的微架構的框圖。

圖6B是圖示出根據一個實施例的有序流水線以及寄存器重命名級、亂序發布/執行流水線的框圖。

圖7是圖示出根據一種實現方式的計算機系統的框圖。

圖8是圖示出系統的框圖，在該系統中可使用本公開的實施例。

圖9是圖示出系統的框圖，在該系統中可使用本公開的實施例。

圖10是圖示出系統的框圖，在該系統中可使用本公開的實施例。

圖11是圖示出芯片上系統(SoC)的框圖，在該芯片上系統中可使用本公開的實施例。

圖12是圖示出SoC設計的框圖，在該SoC設計中可使用本公開的實施例。

圖13圖示出示出計算機系統的框圖，在該計算機系統中可使用本公開的實施例。

具體實施方式

本文中公開了用于在環轉變期間保護棧的處理器擴展的技術。在許多情況下，諸如x86架構之類的指令集架構(ISA)在硬件平臺級提供至少四個不同的特權等級。這些特權等級用于通過保護資源免受由較不受信任實體的直接訪問來提高與硬件平臺相關聯的操作系統(例如，內核)的可靠性。在一些實施例中，這些特權等級的范圍從最受信任的特權等級環0(例如，管理程序模式)到環3或無特權等級(例如，應用或用戶模式)。特權等級中的每一個需要被預先分配和儲存的一些資源以供在從一個特權等級到另一個特權等級的環轉變時的后續使用。