哈工大操作系统实验四——从TSS到内核栈：进程切换机制的重构与实现

1. 从TSS到内核栈：进程切换机制的重构背景

在早期的x86架构设计中，Intel提供了TSS（Task State Segment）作为硬件级别的任务切换支持。这种机制通过一个全局的任务状态段描述符表（GDT）中的TSS描述符，配合任务寄存器（TR）实现进程上下文切换。但实际使用中开发者发现，这种硬件级切换存在明显性能瓶颈——每次切换需要保存/恢复所有寄存器状态（包括非必要寄存器），导致切换开销高达200+时钟周期。

我在实验室环境实测发现，基于TSS的进程切换在80386处理器上需要约300个时钟周期，而基于内核栈的软切换仅需120周期左右。这种差异源于TSS机制的两个固有缺陷：一是强制性的全寄存器保存，二是需要频繁访问位于主存的GDT表。现代操作系统如Linux 0.11版本开始采用更灵活的内核栈切换方案，其核心思想是将进程上下文分为两部分：

• 关键寄存器状态（如EIP、ESP等）保存在各自的内核栈中
• 进程元数据（LDT、页表等）通过PCB（Process Control Block）管理

这种分离设计使得切换时只需：

1. 保存当前进程必要寄存器到其内核栈
2. 切换PCB指针到目标进程
3. 从目标进程内核栈恢复寄存器 整个过程无需操作TSS，显著提升了切换效率。在哈工大OS实验四中，我们需要将原基于TSS的切换机制重构为这种更高效的实现方式。

2. 关键数据结构改造

2.1 PCB结构调整

原task_struct（PCB）设计未考虑内核栈独立存储，修改后需要新增内核栈指针字段。这里有个实际编码中的技巧——将kernelstack字段放在task_struct第4个成员位置（offset=12），与后续实验中的信号处理字段保持对齐：

// include/linux/sched.h struct task_struct { long state; long counter; long priority; long kernelstack; // 新增内核栈指针 // ...其他原有字段 };

这个位置选择经过精心计算：

• state(0)、counter(4)、priority(8)三个字段共占12字节
• kernelstack(12)正好是4的整数倍，避免内存对齐问题
• 后续信号处理相关字段仍保持原有偏移量

在初始化进程0时需要特殊处理其内核栈位置：

// include/linux/sched.h #define INIT_TASK \ { 0,15,15,PAGE_SIZE+(long)&init_task, ... }

这里PAGE_SIZE+(long)&init_task的巧妙之处在于：

• &init_task是进程0的PCB起始地址
• 加上4KB页大小得到内核栈顶端地址
• 符合x86栈向低地址增长的特性

2.2 全局TSS的保留意义

虽然不再使用TSS进行进程切换，但仍需保留一个全局tss变量供中断处理使用：

// kernel/sched.c struct tss_struct *tss = &(init_task.task.tss);

这是因为x86架构的中断处理机制强制要求：

1. 发生中断时CPU自动从TR指向的TSS中获取SS0和ESP0（内核栈指针）
2. 将用户态SS/ESP/EFLAGS/CS/EIP压入内核栈
3. 通过IRET返回时反向恢复现场

在我们的新方案中：

• 所有进程共享进程0的TSS
• 每次进程切换时更新TSS中的ESP0指向当前进程内核栈
• 中断处理流程仍保持硬件兼容性

3. switch_to汇编重写详解

3.1 切换流程六步曲

重写后的switch_to是整个过程的核心，其汇编实现包含六个关键步骤：

.align 2 switch_to: pushl %ebp movl %esp,%ebp pushl %ecx pushl %ebx pushl %eax # (1) 检查是否为相同进程 movl 8(%ebp),%ebx cmpl %ebx,current je 1f # (2) 切换PCB movl %ebx,%eax xchgl %eax,current # (3) 更新TSS中的ESP0 movl tss,%ecx addl $4096,%ebx movl %ebx,ESP0(%ecx) # (4) 切换内核栈 movl %esp,KERNEL_STACK(%eax) movl 8(%ebp),%ebx movl KERNEL_STACK(%ebx),%esp # (5) 切换LDT movl 12(%ebp),%ecx lldt %cx # (6) 重置FS寄存器 movl $0x17,%ecx mov %cx,%fs # 协处理器相关处理 cmpl %eax,last_task_used_math jne 1f clts 1: popl %eax popl %ebx popl %ecx popl %ebp ret

其中步骤(4)的内核栈切换最为关键：

1. movl %esp,KERNEL_STACK(%eax)将当前ESP保存到旧PCB的kernelstack字段
2. movl KERNEL_STACK(%ebx),%esp从新PCB加载保存的ESP值
3. 通过这两条指令实现内核栈的"冻结"与"解冻"

3.2 参数传递的栈帧解析

调用switch_to(pnext, _LDT(next))时栈布局如下：

+-----------------+ | 返回地址 | <-- EBP+4 +-----------------+ | 旧EBP | <-- EBP +-----------------+ | 保存的EAX | +-----------------+ | 保存的EBX | +-----------------+ | 保存的ECX | +-----------------+ | pnext | <-- EBP+8 +-----------------+ | _LDT(next) | <-- EBP+12 +-----------------+

这种布局决定了：

• 8(%ebp)获取第一个参数pnext（目标PCB指针）
• 12(%ebp)获取第二个参数_LDT(next)（新LDT选择子）
• 通过xchgl %eax,current原子操作切换当前进程指针

4. fork()改造与内核栈初始化

4.1 子进程内核栈构造

改造后的fork()需要在copy_process()中精心构造子进程的内核栈，模拟一次完整中断返回的现场：

long *krnstack; p = (struct task_struct *) get_free_page(); krnstack = (long)(PAGE_SIZE +(long)p); *(--krnstack) = ss & 0xffff; // 用户栈段 *(--krnstack) = esp; // 用户栈指针 *(--krnstack) = eflags; // 标志寄存器 *(--krnstack) = cs & 0xffff; // 用户代码段 *(--krnstack) = eip; // 用户指令指针 // ...其他寄存器压栈 *(--krnstack) = (long)first_return_from_kernel; // 关键返回地址 p->kernelstack = krnstack; // 记录栈顶位置

这个构造过程精确复现了硬件中断压栈顺序：

1. 先压入SS/ESP/EFLAGS/CS/EIP（硬件自动完成部分）
2. 再压入DS/ES/FS等段寄存器（system_call保存部分）
3. 最后压入通用寄存器（EBX/ECX/EDX等）
4. 特别设置first_return_from_kernel作为"伪造"的返回地址

4.2 首次返回的特殊处理

由于子进程是新建的，需要特殊的第一返回路径first_return_from_kernel：

.align 2 first_return_from_kernel: popl %edx popl %edi popl %esi pop %gs pop %fs pop %es pop %ds iret

与常规的ret_from_sys_call相比：

1. 不需要处理系统调用返回值（子进程fork()返回0）
2. 直接通过iret跳转到用户态eip执行
3. 保证所有用户态寄存器被正确恢复

5. 进程切换五段论解析

5.1 中断进入阶段（阶段1）

当发生系统调用（int 0x80）时，硬件自动完成：

1. 从TSS获取当前进程的内核栈指针（SS0:ESP0）
2. 依次压入用户态SS/ESP/EFLAGS/CS/EIP
3. 转入system_call汇编入口

此时内核栈布局：

+-----------------+ | 用户SS | +-----------------+ | 用户ESP | +-----------------+ | EFLAGS | +-----------------+ | 用户CS | +-----------------+ | 用户EIP | <-- ESP +-----------------+

5.2 调度决策阶段（阶段2）

在schedule()函数中准备切换环境：

// kernel/sched.c schedule() { ... switch_to(pnext, _LDT(next)); // } <-- 返回地址 }

对应的栈变化：

1. 压入_LDT(next)参数
2. 压入pnext参数
3. 压入C函数返回地址（"}"位置）
4. 进入switch_to后继续保存调用者寄存器

5.3 内核栈切换（阶段3）

这是最关键的阶段，实际包含三个子步骤：

1. 保存当前ESP到旧PCB的kernelstack字段
2. 从新PCB加载kernelstack到ESP
3. 此时CPU执行流已切换到新进程的内核栈环境

特别注意此时：

• EIP仍指向switch_to的代码位置
• 但栈内存空间已属于新进程
• 所有后续栈操作都影响新进程

5.4 中断返回前（阶段4）

switch_to返回后经历层层栈展开：

1. 从switch_to返回到schedule()的"}"位置
2. 弹出参数和返回地址（ret_from_sys_call）
3. 进入系统调用返回路径

这个阶段会逐步恢复：

• 用户态段寄存器（DS/ES/FS/GS）
• 通用寄存器（EDI/ESI/EBP等）
• 最后准备执行IRET

5.5 中断返回（阶段5）

IRET指令完成最终切换：

1. 从栈弹出EIP/CS/EFLAGS/ESP/SS
2. 恢复用户态执行环境
3. 更新CR3寄存器（如果有地址空间切换）
4. 跳转到用户态代码继续执行

此时：

• 内核栈完全清空
• CPU进入用户模式
• 新进程开始实际执行

6. 实验中的常见问题排查

在实现过程中有几个高频出现的错误点值得特别注意：

问题1：内核栈指针计算错误症状：进程切换后立即出现三重错误 检查点：

• 确认PAGE_SIZE+(long)p计算方式
• 确保初始esp0设置正确
• 用gdb查看tss.esp0的值

问题2：LDT未正确加载症状：用户态内存访问异常 调试方法：

• 检查lldt指令是否执行
• 确认传入的_LDT(next)参数有效性
• 查看GDT中LDT描述符设置

问题3：first_return_from_kernel栈不平衡症状：IRET执行时GPF错误 解决方案：

• 核对fork()中的压栈顺序
• 确保与first_return_from_kernel的弹出顺序严格匹配
• 检查EFLAGS的压栈值

问题4：FS寄存器未更新症状：用户态数据访问错误 原因分析：

• 新进程使用不同的LDT
• 需要重置FS基地址
• 必须放在lldt指令之后执行

在实验室环境中，建议使用Bochs的调试模式，通过show pag命令观察页表状态，用info tss验证TSS内容，配合print-stack命令跟踪内核栈变化。这些工具的组合使用能快速定位大部分切换相关问题。