HICIPC模型3.0

HIC IPC 3.0 最终模型

核心机制

HIC IPC 3.0 将跨域调用的安全边界收敛为一条位于独立入口页的 bt 自检指令。调用者通过内核预置的只读函数指针直接 call 服务入口页；入口页内执行基于硬件域 ID 的位图授权检查；通过后跨越页边界跳转至业务逻辑页执行。安全由内核静态地址空间裁剪保证：业务页与能力树对调用者不可见、不可达。

唯一运行时开销：call + bt + 跨页跳转（或缺页切换）。全程无特权级切换、无内核拷贝、无新增硬件指令。

完整调用流

1. 调用者 · 执行 call [service_entry_ptr]，目标地址指向入口页起始处。 · 参数按标准 ABI 通过寄存器传递（大数据通过预先映射的共享内存传递地址/偏移）。
2. 入口页自检（位于独立 4KB 页，调用者页表映射为 RX）

   bt  [bitmap], ecx     ; ecx 存硬件域 ID (GS.base / TPIDR_EL0)
   jnc .fail             ; 未授权则转入失败路径 (ud2)
   jmp [real_service]    ; 跨页跳转至业务页
   

   · bitmap 位于能力树节点所在只读页，由内核在域构建时注入。 · 入口页其余空间由内核填充 ud2 陷阱，任何偏移跳转均触发异常。
3. 跨页跳转与地址空间切换 · 方案 A（共享映射）：业务页已映射至调用者地址空间（如微内核全局共享代码），jmp 直接执行。 · 方案 B（隔离映射）：业务页在调用者页表中未映射，jmp 触发缺页异常。内核缺页处理程序验证缺页地址与 RIP 来源（必须位于入口页），临时映射业务页或切换 CR3，返回后重新执行 jmp。
4. 业务逻辑执行 · 服务函数从寄存器/共享内存读取参数，执行计算。 · 返回时执行 ret，回到调用者 call 之后。

安全性根基

防线 强制机制 绕过代价 入口唯一性 入口页只包含自检代码与陷阱，业务页对调用者不可见 攻击者无法定位业务逻辑地址，跳入入口页偏移触发 ud2 身份不可伪造 域 ID 存储于硬件特权寄存器（GS.base/TPIDR_EL0），用户态不可写 用户态无法篡改 授权数据防篡改 能力树位图所在物理页在所有域中为只读映射 攻击者无写权限 授权检查不可绕过 自检指令位于入口页唯一有效入口，硬件从入口地址开始取指 任何跳过 bt 的尝试因页边界隔离而缺页或异常 参数传递安全 寄存器传参无需拷贝；共享内存由内核静态授权映射 攻击者无法伪造共享内存映射访问服务私有数据

降级兼容性：

· 无 MMU / 8086：入口页→独立代码段（自检段），业务页→另一独立段。调用者通过跨段调用门进入自检段，自检通过后由门逻辑切换 CS 至业务段。调用者 LDT/GDT 中无业务段描述符，硬件保证无法直接寻址。

参数传递模型

场景 机制 性能影响 安全保证 ≤6 个基本参数 标准寄存器传参（x86-64: RDI,RSI,RDX,RCX,R8,R9；ARM64: X0–X7） 0 周期额外开销 寄存器值本身无权限语义 大数据/结构体 预先建立共享内存区域，调用时通过寄存器传递偏移/长度 数据零拷贝，仅地址计算（1–2 条 LEA） 共享内存由内核授权映射，服务端页表严格限制访问权 能力引用传递 传递能力索引（整数），服务端通过能力树自检或内核辅助解析 解析属业务逻辑，不计入 IPC 延迟 能力树只读，索引无法伪造对应权限

理论速度（4 GHz 参考）

路径一：共享映射热路径（业务页已映射，无缺页）

阶段 操作 周期 时间 (ns) 调用者 call [入口地址] 3–4 0.75–1.0 入口页自检 bt [bitmap], r 2–3 0.5–0.75 跨页跳转 jmp [业务页地址] 1–2 0.25–0.5 单程到达业务逻辑 6–9 1.5–2.25 返回 ret 2–3 0.5–0.75 往返 8–12 2.0–3.0

路径二：隔离映射缺页路径（业务页未映射，内核辅助）

阶段 操作 周期 时间 (ns) 调用者 + 入口自检 同上 5–7 1.25–1.75 触发缺页 jmp → #PF 异常硬件开销 ~150 ~37.5 内核处理 验证 + 映射/切页表 + iret 200–400 50–100 重新执行 jmp 取指 + 跳转 2–3 0.5–0.75 单程总延迟 ~350–550 ~90–140 返回（可能对称缺页） 类似开销 对称 对称

注：缺页路径仍显著快于传统微内核 IPC（seL4 约 200–500 ns 单程），且可通过 Intel MPK 用户态权限切换（wrpkru）将额外开销降至 ~20 周期（5 ns），达到接近共享映射的速度。

与 HIC IPC 2.0 及传统 IPC 对比

特性 HIC IPC 2.0 (桩页) HIC IPC 3.0 (入口页自检) seL4 Linux syscall 调用入口 共享桩页（固定 VA） 入口页（服务入口片段） 内核能力调用 中断门/syscall 验证位置 桩页内 入口页首指令 内核路径 内核路径 热路径指令 call/bt/jmp call/bt/jmp 数百条 数百条 单程延迟 (ns) ~1.0–1.75 1.5–2.25 ~200–500 ~50–100 参数传递 寄存器/共享内存 寄存器/共享内存 内核拷贝 内核拷贝 安全强制点 MMU + 只读桩页 页边界裁剪 + 入口页陷阱 能力遍历 LSM+FD 表 降级至 8086 段隔离 + 调用门 段隔离 + 跨段门 需 MMU 需特权级

进化要点：3.0 将验证逻辑嵌入服务入口页，消除了独立桩页的间接性，同时利用页边界天然隔离业务逻辑，使调用语义更直接、内存布局更简洁。

形式化验证前提

HIC IPC 3.0 的安全性依赖于内核正确实施以下不变量（可在微内核形式化框架中证明）：

1. 能力树物理页在所有域中均为只读映射，且无任何可写别名。
2. 入口页对调用者映射为 RX，页内除自检入口外全部填充 ud2 陷阱。
3. 业务页对调用者不可见（未映射或映射但不可执行/不可读）。
4. 域 ID 寄存器在用户态不可写。
5. 域创建时，仅将合法授权入口地址写入调用者只读常量区。
6. 共享内存区域由内核显式授权映射，且权限符合最小特权原则。

满足上述不变量时，系统在给定敌手模型（用户态任意代码执行，无硬件漏洞）下可证明满足无授权绕过与无权限提升的安全性质。

设计哲学定稿

HIC IPC 3.0 将跨域通信安全物理化为一次页边界跨越：

· 调用者唯一可见的服务代码是入口页，页内首指令即自检。 · 业务逻辑隐藏于不可达的独立页，由硬件缺页或段隔离强制门控。 · 授权数据（能力树位图）位于独立只读页，与代码分离。 · 所有安全不变量在域构建时静态完成，运行时仅需执行 call + bt + jmp。

整个模型是 “一次普通函数调用 + 一条位测试指令” 的跨域安全通信。它证明了：在精心裁剪的地址空间之上，隔离的代价可以趋近于函数调用的物理极限。

从 8086 到 ARMv9，从嵌入式微控制器到数据中心 CPU，HIC IPC 3.0 提供了统一、可降级、可形式化验证的极速安全 IPC 框架。

HIC IPC 3.0 初始化与调用流程

一、初始化阶段（系统构建/域创建时一次性完成）

1. 内核分配能力树页：创建全局只读物理页，存放每个服务入口的授权位图（哪个域能调）。
2. 内核切分服务代码：将每个服务函数拆成两页： · 入口页：只包含权限检查代码（几条指令），其余空间填陷阱指令。 · 业务页：真正的服务逻辑。
3. 内核构建调用者地址空间： · 映射入口页为可执行（RX）。 · 不映射业务页（调用者看不见）。 · 将入口页地址写入调用者的只读常量区（例如全局函数指针表）。

二、运行时调用（调用者视角）

1. 传参：按普通函数调用约定，把参数放进寄存器或共享内存。
2. 调用：call [函数指针] —— 直接跳转到入口页。
3. 入口页自动工作： · 读硬件域 ID，位测试授权位图。 · 通过后跨越页边界跳进业务页（若业务页未映射则触发缺页，内核临时映射）。
4. 业务逻辑执行，完成后 ret 返回。

三、安全如何保证

调用者手里只有入口页地址，业务页和授权表他看不见也摸不到。入口页的第一件事就是查身份证，查不过直接异常。

操作层面需要知道的唯一事实

· 初始化时：内核把服务的“门面地址”写进你的常量表。 · 调用时：像调普通函数一样 call 那个地址。 · 传大数据时：先申请一块共享内存，然后传偏移量。

其余全部由编译器和内核的静态布局自动处理。