WO2020244369A1

WO2020244369A1 - 进程间通信的方法、装置以及计算机设备

Info

Publication number: WO2020244369A1
Application number: PCT/CN2020/090559
Authority: WO
Inventors: 杜东; 陈海波; 夏虞斌
Original assignee: 华为技术有限公司
Priority date: 2019-06-03
Filing date: 2020-05-15
Publication date: 2020-12-10
Also published as: CN112035272A; CA3142633A1; EP3968160A1; US20220091911A1; EP3968160A4

Abstract

一种进程间通信的方法、实现该方法相关的装置、计算机设备等。该方法可以应用于智能终端、自动驾驶等设备。该方法主要包括：运行在硬件层或高级别软件层的通信引擎提供上下文切换指令，当运行在用户态的调用者调用被调用者时，通过调用所述上下文切换指令直接实现上下文切换，不需要陷入内核，从而一定程度上避免了内核对上下文切换的干预，缩短了进程间通信IPC的执行时间。

Description

进程间通信的方法、装置以及计算机设备

技术领域

本申请涉及计算机技术，尤其涉及一种进程间通信的方法、装置以及计算机设备等。

背景技术

基于微内核的操作系统架构(简称微内核架构)被广泛使用在云平台、嵌入式设备、移动设备、无人驾驶等场景中。微内核架构将自己真正的核心功能减少到非常少，将传统的操作系统内核(例如宏内核架构Linux)中的众多的组件，比如文件系统和网络协议栈等都放在用户态的进程中运行。

相比传统的操作系统内核，微内核架构能够保证任何承担复杂功能的模块都可以被放在用户态的进程中，并能够使不同的进程隔离运行。这种方式能够极大增强操作系统的隔离性和可靠性。比如，文件系统在微内核架构中仅仅是一个应用程序，当一个恶意的应用程序攻击了一个文件系统后，只有这个文件系统能够访问的文件可能被恶意应用程序访问到，而其它的文件系统以及其它的系统组件(比如内存管理组件)仍然是处于被保护的状态。此外，如果是某个文件系统触发了内部的漏洞导致文件系统崩溃，也只会影响到这个文件系统本身，而不会影响到整个操作系统的正确性。并且管理员可以很容易地重新启动一个文件系统来继续提供服务。这也提供了相比传统的操作系统内核更加好的可靠性。

然而，微内核架构也带来了巨大的性能损失。微内核架构下，一个应用程序获取系统服务的时候，需要通过进程间通信(Inter-Process Communication,IPC)的方式。例如：如图1所示，在宏内核架构中，作为被调用者(callee)的文件系统部署在内核态，当一个调用者(caller)即数据库应用程序需要与文件系统进行通信时，仅需要一次系统调用即可；而在微内核架构下，由于数据库应用和文件系统均部署在用户态，所以数据库应用需要通过IPC和文件系统进行通信。

IPC的性能开销来源于多个方面，其中比较关键的是上下文切换(本申请有时简称为“切换”)开销。宏内核架构下，应用程序和系统服务(比如文件系统)之间的交互通过系统调用实现，而系统调用是硬件直接支持的操作，这使得单个的系统调用非常高效。而微内核架构下，上下文切换的特权指令，如切换页表等只能由内核态完成，而调用者和被调用者都在用户态运行，所以它们必须陷入(trap)到内核态去执行切换，内核的介入导致通信开销相对于宏内核大大提高。

针对微内核架构中IPC通信开销大的问题，现有技术提出一种方案：进程直接切换(Direct Process Switch)。这种方案仍然需要内核进行IPC处理，只是将IPC的处理逻辑进行最简化，只包含必要的阶段。在这种方案的应用下，在执行IPC调用时，内核跳过其它阶段直接切换到对应的上下文中，因此使得IPC通信得到一定程度的加速。但是该方案仍然需要内核干预来完成上下文切换，上下文切换的开销依然较大，导致IPC的通信的时长仍然较长。

发明内容

本申请提供一种进程间通信的方法，并提供实现该方法的装置、计算机程序产品(例如操作系统)、存储介质以及计算机设备等，用以缩短IPC的通信时长。下面将从多个方面介绍本申请，容易理解的是，该以下多个方面可以单独实施，也可以选择其中任意两个或更多联合实施。该以下多个方面的具体实现方式和有益效果可互相参考。

第一方面，本申请提供一种进程间通信的方法，该方法应用于计算机设备，该计算机设备包括硬件层以及运行在所述硬件层上的操作系统。该操作系统可以是基于微内核架构的系统，也可以是基于宏内核架构的系统。所述操作系统上运行有待通信的调用者和被调用者。所述计算机设备还包括通信引擎，该通信引擎在实施例中被称为XPC引擎，用于实现进程间的通信。该通信引擎可以设置在硬件层的处理器上，也可以作为独立的硬件装置。该通信引擎还可以用软件模拟实现。该方法包括：所述调用者调用第一指令(例如xcall)，所述第一指令由所述通信引擎执行以实现从所述调用者的上下文直接切换到所述被调用者的上下文。进一步的，所述被调用者调用第二指令(例如xret)，所述第二指令由所述通信引擎执行以实现从所述被调用者的上下文直接切换到所述调用者的上下文。第一指令和第二指令可以不同时实现。

调用者和被调用者可以是线程(或进程)，线程(或进程)的上下文是操作系统中维护的该线程的各种状态，通常包括线程使用的通用寄存器、页表、线程私有空间、线程元数据等部分。由于上下文的定义和使用在不同的计算机系统中可能有所不同，所以以上举例的上下文内容不应该作为限制本申请方案的基础。另外，本申请中提到的上下文可以指全部的上下文，也可以指部分上下文。调用者和被调用者在其他一些实施例中也可以理解为应用。

当所述操作系统是微内核架构的时候，所述调用者和所述被调用者通常运行在用户态。在传统IPC通信中，所述调用者和所述被调用者需要内核的参与才能完成上下文的切换，这就带来了用户态和内核态的切换等开销，从而导致通信时长较长。通过引入以上通信引擎，所述调用者和所述被调用者通过调用第一指令和第二指令就可以实现直接的上下文的切换，一定程度上避免了内核的干预，从而缩短了IPC的通信时长。类似的，该方法运行在宏内核架构下也能带来通信速度的提升。

在一些实现方式中，所述通信引擎在执行所述第一指令时还包括：获取所述调用者的能力信息，所述能力信息用于指示所述调用者是否有权限调用所述被调用者；当根据所述能力信息确定所述调用者有权限调用所述被调用者时，根据所述第一指令中的被调用者标识确定所述被调用者的上下文；保存所述调用者的上下文；切换到所述被调用者的上下文。传统的IPC中，能力检查是内核来执行的，本申请将能力检查也放到通信引擎中来做，进一步减少了内核的干预，从而进一步缩短了IPC的通信时长。

在一些实现方式中，所述通信引擎在执行所述第一指令时还包括以下检测中的一项或多项：检测所述被调用者标识是否合法、检测所述被调用者是否合法、或检测所述保存所述调用者的上下文的保存空间是否足够。当以上任意一个检测出现不合法或空间不足够时，触发异常，该异常提交给内核，由内核进行处理。合法性等检测的加入，以及内核处理异常的使能，使得本申请提供的通信引擎更加安全和可靠。

在一些实现方式中，所述方法还包括：保存所述调用者的上下文，所述上下文为所述调用者的部分上下文。需要说明的是，本申请中提到的保存上下文可以指保存全部上下文，也可以指保存部分上下文，根据系统需求确定。部分上下文即系统需要的关键的、核心的上下文信息，这样保存可减少保存量，从而减小存储空间占用，同时进一步缩短IPC的通信时长。

在一些实现方式中，当所述通信引擎用硬件实现的时候，访问能力信息、保存上下文信息等操作可以通过访问寄存器实现，寄存器中存储有对应的信息的存储地址，用于指示这些信息的位置。

在一些实现方式中，所述方法还包括：所述调用者申请内存区域，并将所述内存区域的地址设置在所述通信引擎包含的寄存器中；所述调用者将待传输给所述被调用者的数据存储在所述内存区域中，所述被调用者用于通过所述寄存器中存储的地址来访问所述内存区域以获得所述数据。调用者申请一段内存区域，并将该内存区域的地址信息记载在寄存器(seg-reg)中，然后被调用者就可以通过访问该寄存器来获得数据。这种内存区域在本申请具体实施例中被称为接力段(relay segment)或接力段内存。通过这种方式，被调用者可以直接从该寄存器指向的内存区域中读取调用者需要传递过来的数据，避免了数据在调用者和被调用者之间的拷贝，进一步缩短了IPC的通信时长。

本申请以内存为例来，但在其他一些实现方式中，该区域也可以不是内存，而是其他类型的存储区域。

在一些实现方式中，所述方法还包括：所述调用者调用第三指令(例如swapseg)，所述第三指令由所述通信引擎执行以实现将第一寄存器(例如seg-reg)中的地址更新为第二寄存器(例如seg-list-reg)中的地址。通过这种方式，可以让用户方便、快捷地修改接力段内存，提高了接力段内存使用的灵活性。

第二方面，本申请提供一种实现进程间通信的方法。该方法可应用在前述第一方面的通信引擎(例如XPC引擎)中。该通信引擎可以作为当前处理器的扩展单元，也可以作为独立的处理单元，也可以用程序模拟实现。该方法包括：接收调用者发送的第一指令(例如xcall#register)，所述第一指令中包含被调用者的标识(#register)；根据所述被调用者标识在第一寄存器(例如x-entry-table-reg)指示的服务集合(例如x-entry table)中确定所述被调用者的上下文，所述第一寄存器用于存储所述服务集合的内存地址，所述服务集合包括一个或多个被调用者的上下文信息；将所述调用者的上下文保存在第二寄存器(例如link-reg)指示的返回信息集合(例如link stack)中，所述第二寄存器用于存储所述返回信息集合的内存地址，所述返回信息集合包括一个或多个调用者的上下文信息；切换到所述被调用者的上下文。通过以上硬件或软件模拟扩展的方式实现调用者和被调用者的上下文的切换，一定程度上避免了内核的干预，缩短了IPC的通信时长。

在一些实现方式下，所述第一寄存器和所述第二寄存器都是内核可以读写的，因此这种扩展仍然可以向内核提供安全配置接口，比如服务注册、权限授权、或异常处理等，允许内核对切换行为进行限制，实现在用户态直接切换的情况下安全和性能的保证。

在一些实现方式中，在所述根据所述被调用者标识在第一寄存器指示的服务集合中确定所述被调用者的上下文之前，所述方法还包括：根据第三寄存器(例如xcall-cap-reg)指示的能力信息(例如xcall cap bitmap)确定所述调用者有权限调用所述被调用者，所述第三寄存器用于存储所述能力信息的地址，所述能力信息用于指示所述调用者是否有权限调用所述被调用者。将能力检查也放在扩展的通信引擎中实现，进一步减少了内核的干预，缩短通信时长的同时也保证了调用的安全性。

在一些实现方式中，所述方法还包括：将以下信息中的任意一项或两项预取到缓存中：所述服务集合中包括的一个或多个被调用者的上下文信息、或所述能力信息。该缓存属于通信引擎可以更加快速读写的存储介质。由于服务集合、返回信息集合、能力信息集合等存储在内存中，读写这些信息的时候需要通过内存访问的机制，而缓存的访问速度相对内存更快，所以通过设置缓存以及以上预取过程，可以进一步提高数据访问的效率，从而进一步缩短了IPC的通信时长。

在一些实现方式中，采用异步的方式执行以下步骤：将所述调用者的上下文保存在第二寄存器指示的返回信息集合中。这里所谓异步方式指的是该步骤的后续的操作不需要等待该步骤的完成。这样可以进一步提高该方法的运行效率，从而进一步缩短了IPC的通信时长。

在一些实现方式中，所述被调用者的上下文的确定步骤或所述调用者的上下文的保存步骤采用被标记(tagged)的转换检测缓冲区TLB实现。以上步骤都可能涉及到内存访问中的页表切换，采用tagged TLB机制能够避免页表切换中对于TLB的刷新操作，提高了该方法的运行效率。

在一些实现方式中，所述方法还包括：将第四寄存器(例如seg-reg)指示的内存区域的访问权限赋予所述被调用者，其中，所述第四寄存器用于存储所述内存区域的地址信息，所述内存区域(实施例中被称为接力段内存)是所述调用者申请的，所述内存区域用于存储所述调用者待传输给所述被调用者的数据。通过访问该寄存器，被调用者就可以访问调用者的数据，避免了数据在调用者和被调用者之间的拷贝，进一步缩短了IPC的通信时长。这种方式也可以称为“寄存器交接”。

在一些实现方式中，所述方法还包括：将第四寄存器(例如seg-reg)和第五寄存器(例如seg-mask)指示的第二内存区域的访问权限赋予所述被调用者，其中所述第四寄存器用于存储第一内存区域的地址信息，所述第五寄存器则存储有用于缩小所述第一内存区域的信息，所述第二内存区域为缩小后的第一内存区域。通过这种方式对被调用者可访问的内存区域进行限制，提高了数据传输的灵活性和安全性。

需要说明的是，寄存器的访问权限可以是预配置的，访问权限可以包括用户态读/写，或内核读/写等。第四寄存器和第五寄存器可以被配置为用户态读/写，这样运行在用户态的调用者和被调用者就可以访问这两个寄存器。操作系统向用户态应用开放访问接口，类似于共享内存，用户通过接口访问寄存器。

在一些实现方式中，所述方法还包括：接收所述被调用者发送的第二指令(例如xret)，所述第二指令用于指示返回所述调用者的上下文；从所述第二寄存器(例如link-reg)指示的所述返回信息集合(例如link stack)中获取所述调用者的上下文；切换到所述调用者的上下文。

在一些实现方式中，保存的所述调用者的上下文为选择的所述调用者的部分上下文。调用者和被调用者可以是线程(或进程)，线程(或进程)的上下文是操作系统中维护的该线程的各种状态，通常包括线程使用的通用寄存器、页表、线程私有空间、线程元数据等部分，在保存该上下文的时候可以全部保存，也可以像本实现方式一样部分保存，节省保存空间，提高保存速度，从而进一步缩短了IPC的通信时长。

以上关于上下文切换和接力段内存的实现为IPC的快速通信提供了基础的机制。同时，操作系统，尤其是内核，也可以对以上机制进行配置和管理等，下面将介绍这些配置和管理等。

第三方面，本申请还提供一种进程间通信的管理方法，该方法可以由操作系统执行，具体的，可以由操作系统内核层或用户态库层执行。该方法包括：接收服务端的服务注册请求，所述服务注册请求用于请求注册服务；根据第一寄存器(例如x-entry-table-reg)中的地址信息将所述服务的上下文信息保存在第一存储区域，所述地址信息指示所述第一存储区域。该方法实现了对服务信息的注册过程，为客户的调用提供了基础。

在一些实现方式中，所述方法还包括：接收对客户的授权请求，该授权请求用于请求将服务的调用权限授权给所述客户；当确定所述客户有权限调用所述服务时，将所述客户的能力信息设置为指示所述客户有权限调用所述服务，所述能力信息存储在第三存储区域，所述第三存储区域的地址信息存储在第三寄存器(例如xcall-cap-reg)中。换句话说，内核根据该第三寄存器中存储的地址信息，设置该地址信息指向的能力信息。该方法实现了对客户的授权过程，保证了客户调用服务的安全性。

在一些实现方式中，所述方法还包括：接收异常；当确定所述异常为客户与服务端进行通信的通信异常时，从返回信息集合中读取客户的上下文信息，所述返回信息集合包括一个或多个调用者(也可以称为客户)的上下文信息，所述返回信息集合存储在第二存储区域，所述第二存储区域的地址信息存储在第二寄存器(例如link-reg)中；根据所述客户的上下文信息执行恢复操作。换句话说，内核根据该第二寄存器中存储的地址信息找到并读取所述返回信息集合中与所述客户对应的上下文信息。通过该方法，内核可以正确处理IPC通信过程中的异常。

第四方面，本申请还提供一种内存分配方法，该方法用于分配接力段内存，该方法可以由内核执行。该方法包括：响应于内存申请请求，确定待分配的物理内存区域是否和已分配的物理内存区域存在交集；当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配；分配虚拟内存区域，将所述待分配的物理内存区域和所述虚拟内存区域的映射关系保存在第四寄存器(例如seg-reg)中；返回所述虚拟内存区域的地址。这个“已分配的物理内存区域”包括已分配的接力段内存和普通内存。通过这种方法，实现了内核对接力段内存的分配，保证了接力段内存的唯一性。

在一些实现方式中，当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配包括：当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集，且确定当前正在使用的物理内存区域与所述分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配。确定与当前正在使用的接力段内存不重复，可有效避免内存泄露问题。

在一些实现方式中，所述还包括：响应于内存释放请求，清空所述第四寄存器。及时的内存释放能够提高内存利用率。

第五方面，本申请还提供一种内存管理方法，作为内存管理单元(memory management unit,MMU的扩展。该方法包括：接收虚拟地址，该虚拟地址可能来源于内存访问请求；确定所述虚拟地址是否在接力段内存的虚拟地址区间内，所述接力段内存的虚拟地址区间以及对应的物理地址区间的映射关系存储在接力段寄存器(例如seg-reg)中；当确定所述虚拟地址在所述虚拟地址区间内时，根据所述接力段寄存器中存储的所述映射关系确定所述虚拟地址对应的物理地址。该方法通过对MMU的简单扩展实现了通过寄存器来翻译接力段内存的虚拟地址，提高了接力段内存的访问速度。

第六方面，本申请还提供一种方法，该方法包括：内核接收到异常或系统调用；内核从通信引擎维护的状态中获取所述线程的运行时上下文，根据所述运行时上下文处理所述异常或系统调用。本申请提出分离上下文模型：运行时上下文和调度上下文。调度上下文由内核维护，而运行时上下文由本申请提供的通信引擎维护，例如寄存器xcall-cap-reg。分离上下文模型扩展了现有内核的上下文管理。

第七方面，本申请还提供一种服务线程动态扩展的方法，该方法包括：当确定同一个服务接收到多个客户的请求时，创建与所述多个客户一一对应的多个工作线程以及创建所述多个工作线程的多个运行上下文，一个所述工作线程的上下文包括对应的客户的调度上下文和创建的所述运行上下文。该方法基于分离上下文模型，实现了服务端线程的动态扩展，并且可以复用被阻塞的客户的调度上下文。另外，通过将服务端的代码放在客户的调度上下文中运行的，因此可以将跨核的交互变成单核的交互，避免了跨核的跨核中断等开销。

除了方法之外，本申请还实现方法的装置、计算机存储介质和计算机程序产品等。

第八方面，本申请提供一种计算机设备，所述计算机设备包括硬件层以及运行在所述硬件层上的操作系统，所述操作系统上运行有待通信的调用者和被调用者，所述计算机设备还包括通信引擎，所述通信引擎用于执行如前述第二方面任意一项所述的方法。当所述通信引擎集成在计算机设备已有的处理器上时，可作为处理器核的扩展，这时通信引擎指的是“处理器”。当通信引擎独立于已有处理器时，所述通信引擎指的是另外的处理单元，具有独立的处理能力，可作为对已有处理器的加速器使用。

第九方面，本申请提供一种进程间通信的装置，所述装置包括一个或多个模块，用于实现前述第一方面至第七方面任意一项提供的方法。在一些实现方式中，该装置可以为通信引擎，用于实现前述第二方面或其任意一种实现方式所述的方法。

第十方面，本申请提供一种进程间通信的装置，该装置可以是芯片。该装置包括处理器核和多个寄存器，其中所述处理器核用于执行第二方面任意一项所述的方法。

第十一方面，本申请提供一种内存管理单元MMU，所述内存管理单元包括一个或多个模块，用于实现前述第五方面任意一项提供的方法。

第十二方面，本申请提供一种计算机存储介质，所述计算机存储介质用于存储计算机程序，当所述计算机程序被一个或多个处理器执行时实现第一方面至第七方面任意一项提供的方法。

第十三方面，本申请提供一种计算机程序产品，所述计算机程序产品用于存储计算机程序，当所述计算机程序被一个或多个处理器执行时实现第一方面至第七方面任意一项提供的方法。

第十四方面，本申请提供一种计算机设备，该计算机设备可以为终端设备，例如智能手机等，该计算机设备还可以为应用于无人驾驶的智能设备，或者虚拟现实/增强现实/混合现实设备、人工智能设备等。该终端设备包括前述任意一种进程间通信的装置或任意一种MMU。该计算机设备还可以为服务器。

需要说明的是，本申请提供的方法等也可以应用于宏内核架构下。以上提到寄存

器中2个或2个以上寄存器存储的信息也可以合并到1个寄存器中，本申请对寄存

器的数量不做限定。

附图说明

下面将对本申请附图作简单地介绍。显而易见地，下面描述的附图仅仅是本申请的一些实施例。

图1为微内核和宏内核使用文件系统对比；

图2为本申请提供的一种XPC系统的架构示意图；

图3为本申请提供的一种XPC系统中上下文切换相关部分的示意图；

图4为本申请提供的xcall和xret指令的流程示意图；

图5为本申请提供的一种XPC系统中接力段内存相关部分的示意图；

图6为本申请提供的一种内存管理方法的示意图；

图7为本申请提供的一种XPC系统中内核层的结构示意图；

图8为本申请提供的分离上下文模型的概念和应用示意图；

图9为内核实现对XPC引擎管理和配置的部分流程示意图；

图10为内核实现接力段内存的申请和释放的流程示意图；

图11为本申请提供的进程间通信IPC通信方案的整体流程示意图；

图12为传统进程间通信与本申请提供的XPC通信的对比；

图13为本申请提供的XPC方案在Sqlite3数据库上应用的示意图；

图14为Sqlite3数据库应用本申请提供的XPC方案后的测试结果示意图；

图15为本申请提供的服务端线程动态扩展的示意图；

图16为本申请提供的方案在Linux上应用的示意图；

图17为本申请提供的方案在Linux上应用后的测试结果示意图；

图18为本申请提供的一种终端设备的结构示意图。

具体实施方式

IPC的性能开销主要来源于两个方面，其一是上下文切换，可参考背景技术部分的描述。本申请中出现的上下文一般指的是线程(或进程)上下文，具体的，指的是一个操作系统中维护的一个线程(或进程)的各种状态，通常包括线程使用的寄存器、页表、线程私有存储空间、线程元数据等等。其二是数据传输的开销。要完成跨进程的数据传输，通常使用拷贝或者共享内存的方案。使用拷贝会带来很大的性能开销，尤其对于一些数据流通比较大的应用；而共享内存方案虽然理论上可以做到零拷贝，却存在检查时间到使用时间(Time of Check to Time of Use,TOCTTOU)的安全问题。

本申请提供的方案为软硬协同方案。首先本申请设计了一套跨进程调用的硬件架构。该方案在底层硬件中对于上下文切换提供了支持。上下文切换需要切换两个进程空间(调用者和被调用者)的各种状态和信息。为了保证跨进程调用的控制流，调用的信息将会被记录在一个硬件控制的数据结构中，这个数据结构的信息将会在进程返回时的检查中使用。

进一步的，该方案将原先在内核中完成的权限检查的工作下放到硬件中完成。

进一步的，该方案还在硬件中对快速数据传输提供了支持。通过简单地扩展硬件，例如TLB，该方案支持零拷贝的数据传输。

同时，本申请在以上硬件架构的基础上提供了内核系统的软件设计方案，来保证进程直接调用和零拷贝的安全性和性能。

下面通过具体实施例介绍本申请提供的方案的实现。本申请在下述实施例中将提供的跨进程通信系统命名为XPC(cross process call)，但XPC仅为一个名称，不应该作为对本申请的限制。

图2为本实施例提供的XPC系统的架构示意图。该系统包括应用层、用户态库层、内核层和硬件层。

应用层：运行各种多个应用：应用-1到应用-n，本方案提供的进程间通信的优化对该层透明，保证兼容性。

用户态库层：包含两个模块，切换接口模块301和接力段内存接口模块302。这两个模块会提供应用所需进程间通信调用接口，并且会将接力段内存进行封装，提供和共享内存相似的使用接口。

内核层：包含四个模块，切换管理模块201、接力段内存管理模块202、XPC硬件管理模块203以及分离上下文管理模块204。硬件管理模块203负责直接操作硬件层提供的新的指令，以实现进程间的上下文切换。切换管理模块201和接力段内存管理模块202分别负责在软件层对上下文切换和数据传输的安全维护管理。分离上下文模块204则负责内核管理用户态基于新硬件原语的运行时安全。

硬件层:包括切换器101和数据传输器102两个硬件模块，从而和软件层一起实现上下文切换和数据传输等进程间通信能力。切换器101负责实现上下文切换、权限检查等功能，数据传输器负责实现数据传输。

切换器101和数据传输器102可以设置在已有的处理器上，作为处理器的扩展单元，利用已有的处理器的计算能力，也可以作为一个或多个独立于已有处理器的硬件单元，为已有处理器加速。在其他一些实施例中，切换器101和数据传输器102也可以用软件模拟实现。

需要说明的是，切换器101和数据传输器102这两个模块是从功能逻辑上的划分，并非限定二者必须是两个独立的硬件单元。在接下来介绍的XPC引擎的硬件设计中将会对这两个功能进行详细的介绍。

切换器101、切换管理模块201和分离上下文管理模块204向用户态库层和应用层提供了快速的上下文切换接口。数据传输器102和接力段内存管理模块202向用户态库层和应用层提供了安全的、零拷贝的跨进程数据传输接口。

在整个架构中，硬件层和软件层的分工在于：硬件层提供进程间通信的能力，包括能力检查、上下文切换、以及安全有效的数据传输机制，而内核层通过对硬件层的配置等操作实现对进程通信的管理和控制。

需要说明的是，图1中展示的所有组件模块，除应用层包含的应用外均为本申请的相关模块。另外，图1中的模块划分仅是举例说明，方便理解方案，不应该作为对本申请的限制，而且所有模块并非缺一不可。

下面介绍本申请提供的XPC方案中硬件设计的部分。如图3所示，本申请主要提出了XPC引擎和接力段内存，从而提供解决两个问题的硬件基础：跨进程快速切换和零拷贝安全数据传输。在介绍具体的实现之前，先介绍几个概念。

调用者(caller)：也可以叫客户(client)或客户端，指传统的IPC通信或本申请提供的XPC通信中使用服务的一方。调用者可以是进程、线程或应用，具体根据其出现时的上下文确定。

被调用者(callee)：也可以叫服务端(server)，指传统的IPC通信或本申请提供的XPC通信中提供服务的一方。被调用者可以是进程、线程或应用，具体根据其出现时的上下文确定。

需要说明的是，调用者和被调用者仅是角色名称，不指向特定的进程、线程或应用。多个被调用者存在时也称为调用链，例如A调用B，B调用C，则A、B和C形成调用链。

x-入口(x-entry)即：一个进程可以创建一个或多个x-entry。一个x-entry用于表示一个能够被其他进程调用(invoked)的过程。每一个x-entry有一个唯一的标识(identifier,ID或id)。

调用能力(xcall cap)：是“XPC call capability”的缩写，用来记录每一个调用者的能力。在本实施例中通过一个寄存器指向的一个位图表示。

接力段内存，简称接力段(relay segment，简称为relay-seg)：在本实施例中指的是一块具有连续地址空间的内存区域，或者可以理解为是一段连续虚拟地址空间到一段连续物理地址空间的映射。其中，虚拟地址到物理地址的映射(或称地址翻译)由本实施例新增的寄存器实现，这个寄存器可以由调用者(caller)转移给被调用者(callee)，因此被调用者可以直接访问该寄存器指示的虚拟地址空间中的数据。接力段内存在转移给被调用者之前，还可以进行遮盖，即仅转移部分内存空间(参考图3(b))。需要说明的是，在其它实施例中，通过引入页表(page table)设计，本申请提出的接力段内存也可以支持不连续的内存空间。

XPC硬件设计的程序模型(也可以理解为基本的使用原理)为：服务端(server)通过传递过程句柄(procedure handler)、句柄线程以及一个最大上下文数字来注册x-entry。该最大上下文数字用于指示同时发生的调用者的最大数量。该句柄线程用于为客户提供运行时状态，并且该句柄线程可以被多个x-entry共享。x-entry注册成功之后，服务端就进入等待状态。客户通常从父进程或一个命名服务中获得一个x-entry的ID以及自己的XPC调用能力。然后，客户可以通过执行特定指令(本实施例中为xcall)来实现对前述x-entry的调用。xcall可以携带参数，该参数用于指示待调用的x-entry的ID。在本实施例中，该ID存储在任意一个通用寄存器中，所以可以用该寄存器的标识#reg来标识该参数。待服务完成之后，再通过特定指令(例如xret)返回。xcall和xret是XPC引擎提供的两个硬件层面的指令，调用这两个指令绕过了内核，直接让硬件参与实现上下文切换，从而大大提高了上下文切换的效率。进一步的，客户与服务端之间的数据传输通过接力段内存和新增的寄存器来实现，从而避免了数据拷贝。

指令、命令、函数或函数接口指的是由软件或硬件实现的方法过程对外展示的、可调用的名称。

下面详细介绍一下XPC引擎中包含的各个组件以及各个组件的功能。图3(a)为本实施例提供的XPC引擎的结构示意图，该XPC引擎设置在现有的处理器核上，作为现有处理器核的扩展。该XPC引擎包括多个寄存器和XPC逻辑(logic)。在其它实施例中，XPC引擎可以作为一个独立于现有处理器的处理单元，用于对现有处理器进行加速。在其它实施例中，XPC引擎也可以采用软件模拟的方式实现，该软件运行在一个较高级别的模式下，例如RISC-V这种有比监控模式(supervisor mode)更高权限的权限级机器模式(machine mode)，那么可以使用软件实现XPC引擎并运行在该机器模式。

图3(c)在图3(a)的基础上进一步展示了与上下文切换相关的寄存器的含义。

寄存器x-entry-table-reg用于存储物理地址。该物理地址作为基地址，指向一块内存区域，该内存区域保存服务端可提供的服务的信息，这些信息可以以图中所示出的x-entry table的形式保存。“基地址”是一个地址区间的起始地址。该x-entry table中的每一行指示一条x-entry,。每一个x-entry的ID可以用该行的行号来标识，也可以在表中增加一列，该列用于存储x-entry的ID。每个x-entry包括页表指针(page table pointer)、能力指针(capability pointer)、入口地址(entry address)、以及有效位(valid)等属性。页表指针是页表基地址，也就是现有技术中做页表翻译的页表寄存器中存储的值。能力指针也是基地址，是本实施例中引入的新的寄存器xcall-cap-reg中存储的值，指向一个数据结构。入口地址是指切换到服务端上下文后处理器执行的函数的地址。有效位表示一项x-entry是否合法。需要说明的是，该表的内容在不同的架构下可以定制化地进行减少或扩展，图示仅为示例。

寄存器x-entry-table-size用于存储数据结构的大小信息。具体的，该寄存器用于保存上述x-entry-table的大小。

寄存器xcall-cap-reg用于存储物理地址。该物理地址作为基地址，指向一块内存区域，该内存区域中存储有图中所示的位图(bitmap)xcall-cap bitmap。这个位图表示一个调用者能够进行XPC的能力或权限，只有当该位图中指定的位被正确的设置上时才能进行进程XPC通信。换句话说，只有进程具备合适的权限时，才能执行上下文切换。该位图的大小也可以存储在x-entry-table-size中。具体的，该位图中每个标识为i的位的值代表调用者是否能调用id为i的x-entry。例如，当前调用者为线程m，该位图可以存储在该线程m的私有内存区域(per-thread memory region)中，若该位图中标识为2的位的值为1，则表示该线程m可以调用id为2的x-entry；若标识为2的位的值为0，则表示该线程m不能调用id为2的x-entry。每一位的值的意义也可以和上述示例相反。在本实施例中，该位图由内核来维护，但由硬件在执行xcall的时候检查。

需要说明的是，以上用位图来表示能力的方式仅是举例说明，在其它实施例中，可以根据需求采用其它方式来赋予位图中每一位的含义，例如位图中每个标识为i的位的值代表被调用者是否能被id为i的调用者调用，再例如存在多个位图，对调用者的调用能力和被调用者的授权进行多种方式的定义，等等。

寄存器link-reg用于存储物理地址。该物理地址作为基地址，指向一块内存区域，该内存区域中存储有图中所示的栈link stack。该link stack负责保存用于返回调用者上下文的信息(该信息也可以称为调用信息)，这些信息在执行特定指令(例如xret)返回调用者的时候用于恢复调用者的状态。如图所示，link stack中每一行的信息可以称为一条链接(linkage)记录，包括调用者页表指针(caller page table pointer)、调用者能力(caller capability)、返回地址(return address)、调用者接力段(caller relay segment)以及有效位(valid)，这些列存储的信息的格式与x-entry table类似，不再赘述。需要说明的是，该栈的内容在不同的架构下可以定制化地进行减少或扩展，比如增加调用者的接力段内存列表。

该link stack实际上就是用于保存调用者的上下文，以便于服务完成之后恢复。

需要说明的是，上下文保存分两部分，一部分是硬件在执行xcall指令的时候保存在link stack上的，这部分保存的内容参见link stack；另一部分是软件层面的上下文保存，软件可以在调用xcall指令前保存一些状态在软件内存中，这些状态是可以为全部上下文，也可以为部分上下文。全部保存还是部分保存的选择策略可以根据系统需求确定，本申请不做限定。举例来说，可以根据被调用者的可信程度进行上下文保存，如果被调用者可信，那么保存少量的上下文信息；如果被调用者不可信，那么保存全部上下文信息。

以上四个寄存器是和上下文直接切换相关的，在本实施例中主要用于实现无内核干预的上下文切换过程。以上四个寄存器主要维护了三个数据结构，分别是x-entry table，link stack，以及xcall-cap bitmap。在上下文切换时，参考图3(c)，首先①通过xcall-cap bitmap检查是否允许执行切换，然后②通过x-entry table切换到服务端上下文，待服务执行完成后，③根据link stack记录的信息返回调用者上下文。但是，这三个数据结构并非缺一不可。在本实施例中，这三个数据结构都是允许内核访问但是不允许用户态访问的。需要说明的是，这三个数据结构仅是示例，在具体实现中，它们包含的信息也可以采用其它的形式存储，例如xcall-cap bitmap中存储的信息还可以使用根树(radix tree)的形式存储，根树类似页表(page table)，比位图具有更好的可扩展性。

和宏内核相比，微内核的IPC的性能开销的主要原因仍然是软件干预导致的。为了消除掉这部分的开销，本实施例提供的方案直接在硬件中支持进程间调用。基于前述XPC引擎的设计，硬件层向用户态提供了两个指令：xcall和xret，分别作为进程间调用的调用指令和返回指令。xcall会在硬件层完成权限检查和跳转逻辑等，而xret会通过硬件维护的栈(前述的link stack)回到之前的进程环境。

下面结合图4详细介绍xcall和xret的功能。这两个指令的功能由XPC逻辑内的硬件电路实现。在其他实施例中，xcall和xret也可以部分由硬件电路实现，部分由软件程序实现或全部由软件程序实现。

xcall主要包括图中所示的5个步骤。

①调用者在使用xcall时会同时发送被调用者的id。根据该id从xcall-cap bitmap中获取对应的位。

②检查xcall权限。如果获取的位的值为1，表示有权限进行切换；如果该位为0，则表示没有权限，会触发异常或返回错误。

③当权限检查通过后，从x-entry table中，读取该id对应的表项。在其它实施例中，该步骤也可以放到④之后，和⑤合并。

④将当前的页表指针、能力、返回地址以及接力段写入link stack，设置有效位为1。页表指针指的是页表寄存器的值，接力段指的是接力段寄存器中的值，能力指的是xcall-cap-reg中的值，返回地址指的是程序计数器(program counter,PC)中下一条指令的地址。由于当前还没有执行上下文切换，所以以上这些信息都可以认为是调用者的信息。关于接力段寄存器会在后续实施例中详细介绍。

在其它一些实施例中，步骤④可以采用异步的方式实现，例如linux的非阻塞(non blocking)方式，这样就可避免硬件必须等待该步骤完成才能执行下一步，进一步减少了切换的时间。

⑤将页表寄存器、PC等修改为步骤③从x-entry table中读取到的对应项。具体的，将页表寄存器中的值修改为page table pointer的值，将PC设置为entry address的值等。这样就从调用者的上下文切换到了被调用者的上下文。

在以上过程中，除了前面提到的检查权限之外，还可以检查id合法性、检查x-entry是否合法、检查link stack空间是否足够等，当出现不合法或空间不够的情况时发触发异常或返回错误。这些检查措施可以根据实际情况选择执行，不执行、全部执行或部分执行都可以，本申请对此不做限定。生成的异常或错误可以上报给内核，由内核处理。

在其它一些实施例中，本申请提供的方案还可以包括用于预取x-entry的缓存(cache)。这样设计主要基于两方面的考虑：1.对于每一个调用者，尤其是当调用者是一个线程时，IPC具有很高的时间局部性(temporal locality)；2.IPC是可以预测的。基于这两方面的考虑，本申请可以为XPC引擎设计一个软件可管理的缓存，使用该缓存存储一条或多条x-entry。基于该设计，用户态应用可以提前将某些x-entry存储到该缓存中，进一步缩短了IPC的通信时长。

xret主要包括图中所示的2个步骤。在xcall的过程中，调用者的信息会被记录在link stack中。在xret的时候，从link stack的顶部读取信息(①)。将页表指针、能力、入口地址等修改为从link stack中读取到的信息(②)，这样就恢复到调用者的上下文。

在以上过程中，还可以包括检查link stack是否为空，检查从link stack中读取到的有效位，以及当前的接力段寄存器是否和link stack中记录的值匹配等，若为空、无效或不匹配则触发异常或返回错误。这些检查措施可以根据实际情况选择执行，不执行、全部执行或部分执行都可以，本申请对此不做限定。生成的异常或错误可以上报给内核，由内核处理。

由于使用xcall和xret完成上下文切换的过程中仍然可能涉及到页表的切换，所以在其它一些实施例中，可以在本实施例的基础上增加被标记(tagged)的转换检测缓冲区(Translation Lookaside Buffer，TLB)的机制，通过该机制能够有效避免页表切换中对于TLB的刷新操作，进一步提升了xcall和xret指令的性能。tagged TLB具体来说是在每一个TLB项上会有一个ASID，该ASID用于表示这项TLB是哪一个进程的，利用这种方法可以使得进程间上下文切换的时候不需要刷新整个TLB。

需要说明的是，在其他一些实施例中，可以不采用本申请提供的接力段内存的机制，例如，采用共享内存机制。如果不采用接力段内存机制，则在xcall或xret过程中不需要考虑接力段相关的内容，例如，如果使用共享内存机制，则调用者和被调用者使用共享内存接口即可。共享内存的实现可参考现有技术，本申请不再赘述。

从软件角度来看，硬件基于上述的XPC引擎向内核暴露了一系列可以配置的寄存器，并给出了两条用于上下文切换的指令xcall和xret。基于这种设计，用户态应用可以在不陷入内核的前提下就完成上下文切换，提高了上下文切换的效率，从而提高了IPC的效率。

进一步的，本申请提供的硬件还支持零拷贝的IPC数据传输，同时能够保证数据传输的安全性。如图5所示，XPC引擎中还包括三个寄存器：接力段寄存器seg-reg、接力段选择器seg-mask、以及接力段列表寄存器seg-list-reg。其中，seg-reg表征一段虚拟内存和物理内存的映射，在IPC切换的时候，会取seg-reg和seg-mask中存储的内存区间的交集作为被调用者可访问的接力段内存。

seg-reg包含四项信息：虚拟内存基地址VA base、物理内存基地址PA base、长度length、权限permission。接力段内存对应的就是从VA base开始，长度为length的内存，这段虚拟内存对应的物理内存由PA base和length制定。权限可以包括非法、读、写、执行权限等。在地址翻译的时候，seg-reg相对于现有的页表有更高的优先级。

seg-mask中包含两项信息：偏移(offset)和长度(length)。在xcall进行切换的时候，硬件会根据seg-mask中的信息，更新seg-reg中的基地址和长度。应用不能直接改变seg-reg中的映射，但是，可以使用seg-mask来缩小当前接力段内存的范围，然后将该缩小后的接力段内存传递给被调用者。这种能力在部分数据不能传输的时候有用，尤其是当多个主体形成调用链条的时候。例如，A调用B，B调用C，A的部分数据不能传递给B或C，这时可以通过seg-mask将接力段内存中的部分内存传递给B。

为了让应用使用更多的内存作为接力段内存，本实施例还提供一个寄存器seg-list-reg，该寄存器保存一个物理地址，该物理地址指向内存中的一个数据结构，即图中的表relay segment list。这个表的每一行包含一条seg-reg中的信息。seg-list-reg中每一行包含的信息和seg-reg一样，也是指向一块接力段内存，所以seg-list-reg中可以保存一块或多块接力段内存的地址信息。这样，应用就可以创建多个接力段内存，并在有需要的时候切换接力段内存，使得接力段内存的使用更加灵活。

进一步的，为了不下陷到内核就实现接力段内存的切换，本实施例还提供一个新指令：swapseg。例如，当该指令被用户态进程调用时，硬件层可以原子地切换seg-reg中的内容和relay segment list中的一行，从而实现接力段内存的切换。再例如，swapseg还可以用于原子地切换两个接力段寄存器中的内容，或者将某个地址覆盖接力段寄存器中的地址，等等。需要说明的是，relay segment list可以存储在创建它的进程或线程的私有内存空间中，并由内核管理。

需要说明的是，这三个寄存器并非缺一不可，比如，在一些情况下，可以不设置seg-mask和seg-list-reg中的一个或两个。

本实施例还对内存管理单元(memory management unit,MMU)进行了扩展，如图6所示。传统的虚拟地址到物理地址的翻译(也可以称为映射)是通过MMU以及MMU内部的转换检测缓冲区(Translation Lookaside Buffer，TLB)进行处理的，即图中白色部分。本实施例的扩展在于图中黑色部分示出的流程。在获得一个虚拟地址(VA)需要进行翻译的时候，MMU会首先判断该VA是否落在接力段内存的区间内，如果是，会直接使用前述seg-reg表示的内存映射进行翻译，输出对应的物理地址PA，具体的，PA＝VA-VA base+PA base(参考图5)。若该VA没有落在接力段内存的区间内，则使用之前的TLB和MMU进行地址翻译。

需要说明的是，MMU寄存器seg-reg的访问可以通过硬件线路实现，XPC引擎可以通过该线路将seg-reg寄存器的值传递给MMU。在其他实施例中，也可以采用其它的方式，本申请对此不做限定。

为了防止TOCTTOU攻击，内核将会保证每一个接力段内存在同一时间只能被一个核使用，即同一时间只能属于一个线程。这种所有权会伴随着调用链进行转移，比如A调用B，B调用C，则接力段内存会从A转移到B，再转移给C，可以全部或部分转移。

在xret阶段，XPC引擎还可以检查seg-reg中值与link stack里存储的seg-reg和seg-mask的交集是否一致，若不一致，则触发异常或错误，由内核处理该异常或错误；若一致，才继续执行。这样可以避免恶意的被调用者修改调用者的接力段内存。

以上主要描述了本实施例的硬件设计，总的来说，以上设计为应用程序提供了基于XPC引擎的直接的、无内核干涉的上下文切换能力，能力检查能力，以及基于接力段内存的安全的、零拷贝的数据传输能力。

从软件的角度来看，硬件层的设计为软件层提供了新的硬件原语(primitive)，包括上下文切换原语和接力段内存原语等。其中，上下文切换原语中包括两个新的指令：xcall和xret；接力段内存原语中包括一个新的指令swapseg。需要说明的是，本实施例中原语指的是完成特定功能的一个过程，具有不可分割性，硬件原语则是通过硬件层实现的原语。在其他实施例中，本申请提供的方案也可以不通过原语来实现，可以接受一定程度的功能分割。

下面介绍本实施例提供的XPC方案的软件部分的设计。图7为本实施例操作系统内核部分包括的软件模块的示意图。

硬件管理模块203、切换管理模块201和接力段内存管理模块202，这三个模块为离线配置模块，而分离上下文管理模块204为运行时模块。其中硬件管理模块203直接操作本实施例提供的新的硬件原语。而切换管理模块201和接力段内存管理模块202分别基于硬件原语，在内核中提供对于上下文切换和数据传输的配置，包括安全和策略的配置等。切换管理模块201和接力段内存管理模块202依赖于硬件管理模块203进行硬件操纵。这三个模块都是配置硬件的，因此被定位为离线配置模块。分离上下文管理模块204负责提供线程或进程运行时的状态维护和IPC信息维护。需要说明的是，以上模块划分仅是举例，并非缺一不可，本领域普通技术人员也可以通过其它分类方式对软件模块进行分类，本申请对此不做限定

下面对分离上下文管理模块204、切换管理模块201和接力段内存管理模块202分别进行详细的说明，而硬件管理模块203为内核中负责前述XPC引擎的管理代码，可以理解为驱动，该部分的实现类似于现有的硬件管理，本申请对此不再赘述。

传统IPC中的线程模型，是将所有的线程上下文都包含在一起的。线程(或进程)上下文是指一个线程的各种状态，通常包括线程使用的通用寄存器、页表、线程私有空间、线程元数据等。这种线程模型在以内核为中心的传统IPC通信中是可以工作的。然而在本申请提供的用户态直接切换上下文的方案中，传统的线程模型可能会导致内核无法识别当前用户态线程。为此，本实施例提出了“分离上下文模型”，如图8(a)所示，将传统的线程上下文进行分离，分成运行时上下文和调度上下文两个抽象。运行时上下文允许用户态通过XPC引擎进行切换，调度上下文只有内核进行维护。分离上下文模型能够扩展现有的内核线程模型，使其能够支持XPC下的用户态进程的异常和系统调用。

在分离上下文模型下，内核通过额外的寄存器(如xcall-cap-reg)确定当前线程的运行时上下文，而通过内核维护的状态来确定调度上下文。这种分离管理的方式提供了更高的灵活性，并且允许用户态重用一个调度上下文，而支持不同的运行时上下文。图8(b)为分离上下文模型的应用过程。用户态进程触发了异常(如缺页异常)或者调用了一个系统调用，下陷到内核(①)。在内核中，内核首先恢复自己的上下文，如内核的堆栈(②)。内核从恢复的状态中获得线程的调度上下文(③)。内核从当前的硬件状态(即xcall-cap-reg)中获取用户态线程的运行时上下文。内核根据运行时上下文处理异常或者系统调用，如使用运行时上下文中的页表来处理缺页异常或者通过运行时上下文中的capability表来处理系统调用(⑤)。当操作系统进行调度时，内核根据调度上下文(如时间片信息)进行调度(⑥)。请求处理完成，返回用户态(⑦)。操作系统的调度策略和调度过程可参考现有技术，本申请对此不做限定。分离上下文模型扩展了现有内核的上下文管理。

需要说明的是，在本实施例中，xcall-cap-reg是每个线程唯一的，因此可以起到一个索引的作用定位到一个线程的运行时上下文。具体的，比如可以在xcall-cap-reg的内存附近再分配一个内存页，记录该线程的运行时上下文，比如页表基地址等；然后内核直接根据xcall-cap-reg去访问那个内存页里面记录的运行时上下文。在其他实施例中，内核可以通过其他的寄存器或其他的方式获取运行时上下文。

切换管理模块201需要对硬件进行处理，需要XPC引擎提供的硬件原语支持。如图9，切换管理模块201主要用于实现服务注册、调用授权以及异常处理三个流程。图中黑色底色步骤为本申请提出的方案的核心相关过程。

一个应用，作为服务端，在提供服务之前首先通过内核提供的接口来注册自己的服务：①内核对该注册请求进行检查，判断是否合法；②然后将服务的信息记录在内核中；③将服务的信息转换成一条x-entry，包含服务端的页表、入口地址等信息(可参考前述对x-entry table的介绍)，通过硬件管理模块203提供的接口将该x-entry加入到x-entry table中。最终，内核将返回一个id给用户，表示对应的服务在x-entry table中的索引位置，该id可以作为该服务的标识被调用者使用。

一个应用，作为客户，在获得服务之前需要内核对其进行授权，该授权的实现包括：①内核首先检查该客户通过各种方式获得某个服务的调用权限是否合法；②然后更新该客户的IPC调用权限信息；③内核会将该客户对应的xcall-cap bitmap中的对应的位设置为1，表示允许这个客户直接调用到对应的服务(可参考前述对xcall-cap bitmap的介绍)。为了安全性，内核部分可以设置多种安全策略，基于安全策略来确定到底能不能授权，本申请对安全策略不做限定。

在IPC调用的过程中，用户态程序可能触发异常或错误，内核需要对这些IPC过程中的异常或错误进行处理。①首先内核获取异常类型，以判断异常是否为IPC相关异常；②内核通过读取触发异常时的link stack的信息，获取当前的IPC调用链信息并依此恢复这条IPC调用链上的状态；③终止异常线程并回收相关资源。

需要说明的是，图9中提供的三个流程中有的步骤(比如白色底色的步骤)和现有的微内核IPC通信的配置或异常处理是相同或类似的，因此在本申请中不再详述。但是图9提供的三个流程仅是举例，可以根据实际需求有所变化，也可以因不同类型的系统内核有所变化，因此图9所示的流程不应理解为对本申请的限制。

如图10所示，接力段内存管理模块202主要实现接力段内存申请和释放两个功能，并向应用层暴露实现这两个功能的接口。

接力段内存申请包括：①内核检查物理内存是否已经分配/映射，以保证新分配的接力段内存不会存在在现有的其他接力段内存和用户态内存中；②内核检查当前是否有使用中的接力段内存，避免覆盖导致内存泄漏；③前两项检查均通过后，内核标记该物理内存段为“已分配接力段”状态；④内核分配一块虚拟内存空间，将这段物理内存和虚拟内存写入接力段寄存器seg-reg中。最后内核返回分配的虚拟内存的地址，如果申请过程中有检查不通过或内存不足等异常情况时则返回错误值。

为了避免接力段内存和普通内存的重叠，步骤④中分配的虚拟内存将会被分配在特定的区间，这段区间只会拿来映射接力段内存，而不会用来映射普通内存。这里的普通内存指的是除本申请提供的接力段内存之外的内存。

接力段内存释放包括：①内核首先检查接力段内存的合法性；②若检查为合法，则释放对应的物理内存，并将该物理内存标记为空闲；③清空接力段寄存器seg-reg；④为释放的物理内存分配能力(或称权限)。最后内核返回释放的物理内存及其能力。

本实施例提供的方案可以通过维护接力段内存权限转移(ownership transfer)的来实现接力段内存的唯一性。在分配一块接力段内存时，这段接力段内存只能被对应的线程使用，即使同进程的其他线程也无法访问到这段内存，因此可有效避免TOCTTOU的攻击。

应用本实施例提供的方案之后，进程间通信流程如图11所示，主要分为三个阶段，第一个是服务阶段。①服务端初始化自己的运行环境，确保处于可以接受请求状态。②服务端注册IPC服务，其中包括微内核中的IPC服务端口配置以及微内核设置硬件中的状态，注册过程的具体实现可参考前述IPC管理模块中服务注册的实现。③服务端开始进入等待处理请求状态。第二个阶段是客户阶段。④客户获得调用服务的能力，如何获得可参考前述切换管理模块201中调用授权的实现。⑤客户将数据存储到接力段内存中。在这之前申请接力段内存，申请方法可参考图10。⑥客户调用xcall以进行IPC调用。第三个阶段是服务阶段。⑦xcall命令被XPC引擎执行之后就实现了客户进程到服务进程的切换，之后服务端通过接力段内存获取客户的数据，并开始执行服务逻辑。⑧服务端处理完成请求之后，通过xret命令将服务结果返回客户。IPC完成之后，客户可以释放接力段内存，释放方法可参考图10。

在前述步骤⑥中，XPC引擎可以对客户是否有权限执行调用操作进行检查，检查失败会触发异常，检查成功则会切换到服务的上下文中，并且接力段内存也会通过寄存器的方式转交给服务端。

在其它实施例中，步骤①-⑧的执行顺序可以根据需求调整，例如，前述步骤⑤和其它步骤的顺序可以调整，具体的，客户申请接力段内存可以在更早之前执行，或申请接力段内存和存储数据都可以在更早之前实现。

需要说明的是，前述步骤中包含的更详细的实现，例如xcall或xret的实现、能力的授权、接力段内存的申请和释放等可参考前面的描述。

本实施例通过软硬件结合的方式，软件负责安全机制保证，硬件负责运行时加速切换，实现快速的切换和安全零拷贝数据传输。软件(内核)维护接力段内存的唯一性和虚拟地址的安全性，硬件提供运行时寄存器交接式数据传递，实现安全零拷贝数据传输。

图12给出了本实施例过程和传统IPC的对比。传统IPC依赖于内核完成进程间通信(①-⑤)，包含运行模式切换、缓存污染、权限检查、上下文切换、地址空间切换、内核检查逻辑复杂等开销。传统IPC在数据传输时至少有两次拷贝过程且有TOCTTOU攻击的风险，而本申请提供的方案通过调用xcall由硬件实现权限检查、上下文切换等，成功绕过了内核(①-③)，避免了陷入内核的开销，并且由硬件提供寄存器交接式的数据传输机制，避免了数据的拷贝，从而达到了更好的IPC通信性能。

图13为应用本申请提供的方案之后，Sqlite3数据库应用访问存储在存储介质中的数据的过程。在该实施例中，硬件层扩展了XPC引擎和接力段内存，内核选择使用Google Fuchsia系统的内核Zircon。应用程序选择Sqlite3，文件系统为xv6fs，使用虚拟内存盘ramdisk作为可存储设备。图中序号仅列出Sqlite3进程相关的操作。

文件系统进程和块设备驱动进程注册服务。具体的，文件系统进程和块设备驱动进程在操作系统启动阶段先行执行初始化逻辑，对自己程序进行初始化，并且分别通过内核提供的接口，注册自己的IPC服务。

文件系统进程和块设备驱动进程建立通信通道。具体的，文件系统进程需要通过块设备驱动进程访问真实的设备，因此初始化时会建立文件系统进程和块设备驱动进程间通信的通道，允许文件系统进程调用块设备驱动进程的服务。

Sqlite3数据库进程和文件系统进程建立通信通道(图中编号① ② ③ ④)。具体的，Sqlite3数据库进程启动，初始化时会将文件系统进程的调用权限授权给Sqlite3进程，建立二者之间的通信链路。

Sqlite3准备和文件系统进程通信的数据(图中编号⑤ ⑥ ⑦ ⑧)。具体的，Sqlite3通过接力段寄存器准备数据。以写(write)操作为例，Sqlite3使用接力段内存作为自己的数据内存使用。在write接口中，通过接力段选择寄存器seg-mask将可传递的接力段内存限制在write请求的数据访问内。

Sqlite3调用文件系统服务(图中编号⑨)。具体的，Sqlite3准备访问文件系统服务，通过调用用户态库提供的xcall命令直接切换到文件系统进程上下文中。Sqlite3的xcall会进入文件系统上下文的一个入口点。在这个入口点，文件系统服务分配资源，然后执行文件系统内部的写操作。在执行写操作的过程中可能会有调用块设备驱动进程的过程，与Sqlite3调用文件系统进程的过程类似，不再赘述。

文件系统进程通过xret返回结果给Sqlite3(图中编号⑩)。具体的，文件系统将执行完的结果，通过寄存器返回给Sqlite3数据库进程。

使用了YCSB(Yahoo！Cloud Serving Benchmark)测试集(A-F)对于Sqlite3程序进程了测试。如图14所示，和没有使用本申请进行优化的方案相比，优化过的版本在吞吐量上能够达到最高2.5倍以上的性能提升。

本申请提供的方案还能够支持服务线程的动态扩展。图15为服务线程动态扩展的示意图。本申请提供的方案允许服务端按需创建新的工作线程(work thread)。如图15所示，客户通过XPC引擎提供的指令xcall进行IPC调用，服务端通过动态分配组件判断是否需要分配新的线程资源。如图中(a)所示，当仅有一个客户调用该服务时，动态分配组件仅需创建一个工作线程需要的服务运行上下文资源。如图中(b)所示，当出现多个客户同时调用该服务时，动态分配组件将会创建多个工作线程需要的服务运行上下文资源。本实施例不需要静态分配服务端处理线程资源，并且可以复用被阻塞(block)的客户线程的调度上下文资源，提高了系统资源利用率。

如图15所示，由于分离上下文机制，本申请可以将服务端的代码放在客户的调度上下文中运行的，因此可以将跨核的交互变成单核的交互，避免了跨核的跨核中断等开销。

需要说明的是，IPC机制不仅是微内核的进程间通信机制，在宏内核中，也会应用IPC进行进程间通信，本申请提供的方案不仅适用于微内核，也适用于宏内核。

下面介绍本申请提供的方案的基于RocketChip的一种具体实现。将本申请提供的方案集成到RocketChip RISC-V核上，支持微内核、宏内核以及用户级别的数据传递(handover)机制。

XPC引擎实现为RocketChip核的一个单元。表1展示了新的寄存器和新的指令的详细信息。这些新的寄存器用控制和状态寄存器(control and status register,CSR)实现，能够被csrr(CSR read)指令和csrw(CSR write)指令访问。三个新的指令xcall、xret和swapseg在执行阶段被发送到XPC引擎。XPC引擎检查IPC的有效性并且返回被调用者的信息给管道(pipeline)。另外，还增加了5个新的异常，包括无效的x-entry，无效的xcall-cap，无效的链接(linkage)，无效的seg-mask以及swap-seg错误。

表1

内核管理四个XPC对象：1)全局x-entry表；2)对应每个线程的link stack(per_thread link stack)；3)对应每个线程的xcall能力位图(per_thread xcall capability bitmap)；以及4)对应每个地址空间的接力段列表(per_address_space relay segment list)。在系统启动(boot)阶段，内核为x-entry表分配内存并设置表的大小。当创建一个线程时，内核为这个线程的link stack分配8KB的内存，为xcall能力位图分配128B的内存，为relay segment list分配一个4KB的页。在一次上下文切换期间，内核负责保存和恢复前述对象2)和3)。

对微内核的支持从以下四个方面介绍。下面的介绍与本申请前面介绍的部分可相互参考。

1.能力(capability)。能力在微内核IPC机制中被广泛使用。本申请提供的方案引入grant-cap这个接口，该接口允许一个线程向另一个线程授权能力。内核为每个线程维护能力列表。当一个线程创建一个x-entry，该线程将会把对应的xcall-cap通过grant-cap授权给其他线程。

2.分离线程状态或称分离上下文。由于内核感知不到当前运行的线程，所以用户态的域切换可能会导致内核的错误行为。例如，A通过xcall调用B，但是触发了一个页错误(page fault，也可称为缺页异常)并陷入到内核，但是内核会错误地将A的页表用于处理B的页错误。

为了解决这个问题，将内核维护的线程状态分成两个部分：调度状态和运行时状态。调度状态包括与调度相关的信息，具体包括内核栈、优先级(priority)、时间片(time slice)等等。运行时状态包括当前的地址空间和能力。每个线程可以和一个调度状态，以及一个或多个运行时状态关联。由于xcall-cap-reg是对应每个线程的，并且在xcall期间有可能被更新，所以内核可以使用xcall-cap-reg确定运行时状态。当一个线程陷入内核，内核可以根据xcall-cap-reg中的值确定该线程当前的运行时状态，以避免前述例子的错误。

3.多客户同时调用。本申请提供的方案支持一个x-entry同时被多个客户调用。为了实现这个目的，每个x-entry对应多个XPC上下文，该XPC上下文包括一个执行栈和本地数据。当创建一个x-entry的时候，服务端设置XPC上下文的最大数量。这些XPC上下文可以提前创建。在该x-entry被调用之前，会有一个空闲的XPC上下文被选择出来，然后切换到对应的执行栈并恢复本地数据，在返回之前释放资源。如果没有空闲的XPC上下文，则返回错误或继续等待空闲的XPC上下文。进一步的，为了防止DoS攻击，服务端可以采用特定的策略限制来自客户的调用。

4.应用终止。一个调用链中的某个过程的不正常终止可能会影响整个调用链。例如，A调用B，B调用C，但是B因为某个异常被内核杀死(killed)，这样当C调用xret的时候就会返回到一个错误进程。这种情况需要一个方式去触发一个异常，以便于内核来处理它。

在本实施例中，当一个进程终止的时候，内核将会扫描所有的link stack，通过页表指针找到该进程的所有linkage record，并把这所有linkage record都设置为无效。这样，如前面的示例，当C返回的时候，就会触发无效linkage的异常，从而内核可以处理该异常。

进一步的，本实施例还可以减少link stack的扫描频率：当B被杀死时，内核不需要执行扫描，但将B的页表清零，这样，当C返回的时候，就会触发一个页错误(page fault)，这样内核就获得机会处理该错误。另外，内核也会撤销(revoke)B的资源。

本申请提供的方案也支持宏内核。具体的，下面介绍本申请和Android Binder机制的融合方案。

Binder是Android在Linux内核中引入的重要的特性，主要负责Android上应用的进程间通信。Binder被广泛用在Android现有的服务中，如窗口管理(window manager)。Binder的架构包含基层，Linux Binder驱动、Android Binder框架、以及API层。本申请提供的方案对于Binder的支持只修改驱动和框架，而保证API尽量不改动。在Binder中，“binder transaction”用来表示一个跨进程的方法调用，这个调用使用内核的两次拷贝来实现数据传输。Android引入了另一个特性，ashmem(匿名共享内存)来加速Binder通信过程中的大数据传输。

binder transaction包含下面几个步骤。1.客户准备好方法标识、并且将传递的参数数据放到Android中的Parcel结构中。2.客户调用Binder框架的API函数transact()。这个函数最终会陷入到内核的binder驱动中，并通过两次拷贝将数据拷贝到服务端。整个过程涉及两次数据拷贝和两次权级切换。3.服务端的binder框架接收到请求，调用onTransact()回调函数调用对应的方法。4.服务端将执行的结果通过binder驱动返回给客户。

如图16所示，我们通过XPC方案来优化整个流程。首先，API接口不需要改动，如transact()(见图中的1)和onTrasact()(4)，这能够使得XPC优化的binder依然能够兼容现有的应用。其次，扩展了binder驱动来管理xcall cap bitmap和x-entry table。当一个进程注册服务的时候，需要通过框架下陷到驱动配置x-entry table增加x-entry，删除x-entry是类似的。当客户获取调用服务的权限的时候，同样需要下陷到驱动中去设置自己的xcall-cap bitmap，清空操作也是类似的。最后，当运行时客户和服务之间进行通信的时候，和传统binder的方法(通过ioctl下陷到内核)不同，客户可以直接调用xcall指令到服务端完成调用(3)，而服务端处理完请求也可以直接通过xret指令返回到客户端(5)。此外，数据的传输也从Parcel的传输变成接力段内存的交接(2)。此外，linux还需要维护每个线程的上下文中的相关寄存器。基于XPC的优化可以避免两次权限级的切换和两次数据拷贝。

匿名共享内存(ashmem)通过file-based shared memory interface来给用户用。具体来说，用户进程可以分配一个fd，通过映射(map)这个fd拿到一块内存，而这个fd在binder中可以在不同的进程间共享，实现数据的传输。ashmem和传统的共享内存一样，同样有安全性问题存在，需要一次额外的拷贝来保证数据安全性。

基于XPC的优化包含三个方面。ashmem分配：binder框架通过接力段内存实现ashmem，分配的时候会分配对应的接力段内存给用户。ashmem映射：映射的时候会将对应的接力段寄存器设置上映射的ashmem的区间。ashmem传输：通过xcall将接力段内存直接交接给服务端。

使用本申请提供的接力段内存来优化ashmem可以避免额外的一次拷贝。当硬件中的relay-seg-reg不够多个ashmem的映射时，可以通过触发缺页错误(page fault)然后动态的映射的方式来进行调度处理。

本申请提供的方案还支持跨调用链的数据传递。在实际场景中，往往涉及到多个主体的嵌套调用链，如A调用B、B又调用C。而这里A传递给B的数据可能会直接传递给C。XPC的接力段机制能够实现跨函数调用链的传递(handover)，即数据零拷贝地在A、B、C之间传递，并且不存在安全性问题。

这里我们主要考虑三种情况，第一种情况是当B传递数据给C的时候，需要在A的数据的基础上增加一些数据；第二种是B只传递部分的数据给C；第三种情况是当C在执行的时候，B可能因为异常导致退出，需要处理资源的回收。

数据大小协商(message size negotiation)：针对第一种情况，我们使用数据大小协商的方式。即，即使A传递B一个较小的数据，但是如果B要传递给C一个更大的数据块的话，那么A可以预留这部分数据的区间，这样B可以直接在预留的区间上追加(append)数据，而不需要去重新分配和搬运数据。这里的协商是要看调用链的，如果B后面可以调用C或者D的话，那么A需要申请的空间应该是A发给B的数据大小、B发给C的数据大小、以及B发给D的数据大小，这三者中最大的那一个。

数据缩小(message shrink)：对于第二种情况，我们需要缩小接力段内存的区间。这个可以通过寄存器seg-mask来实现。通过seg-mask选择要传输的区间，多的部分不会被传递到服务端。

接力段回收(segment revocation)：对于第三种情况，当一个进程终止的时候，内核会遍历该进程的relay segment list，将调用者的接力段内存返回给调用者，其余的接力段内存则回收。

本实施例考虑了两种binder机制：通过缓冲区(buffer)传递数据的机制和通过ashmem传递数据的机制。本实施例分别将这两种binder机制进行了基于XPC的优化，并比较了通信时间，如图17所示。这里的通信时间包括数据准备(客户)、远程方法调用以及数据转移(框架)、处理表面内容(surface content)(服务端)、以及回复(框架)。通过图示可以看出，XPC可以有效地优化binder和ashmem的性能。

需要说明的是，宏内核可以仅集成XPC提供的接力段内存机制，上下文切换则采用现有机制或其它机制，这样也能提升数据传输的效率和安全性。

总结来说，本申请提供的方案包括但不限于以下的内容。

一、硬件支持的跨进程调用上下文切换原语的设计，通过xcall和xret两条新指令，允许用户态执行上下文切换功能。

1.xcall和xret为IPC过程中可以被硬件直接加速的部分，主要是IPC中客户端和服务端的上下文切换，通过硬件支持，加速IPC核心流程。

2.跨核交互优化机制：将多核场景下，原先通过跨核中断(Inter-processor interrupt)的通知方式换成将服务进程拉到当前核进行运行的机制。这种方式可以提供更好的服务进程对于客户进程的数据的访问的缓存命中率。

3.引入硬件缓存支持加速：在执行切换的过程中，xcall和xret的两条指令需要进行多次内存访问。本发明采取了针对于IPC信息的硬件缓存，来存储xcall/xret指令需要读取的数据。

4.异步状态压栈：在xcall的过程中，硬件需要将当前的客户端的上下文信息压入一个栈(link stack)中。这个过程可以被异步完成，避免了硬件同步地等待这个压栈操作完成。

5.利用tagged TLB避免页表切换开销的方法：使用xcall和xret在硬件中执行上下文切换仍然需要切换页表。使用tagged TLB的方式，能够避免页表切换中的对于TLB的刷新操作，提升了xcall和xret指令的性能。

二、硬件支持的数据传输机制的设计，通过接力段内存及其寄存器方式的传递方式，允许快速零拷贝数据传输。

1.通过寄存器方式进行地址翻译和数据传输：提出了通过寄存器的方式来对现有基于页表的地址翻译过程进行扩展。这段寄存器翻译的扩展能够保证始终TLB命中，并且将大数据传输变成了寄存器交接的过程。

2.基于MMU的扩展，避免对于处理器核心的大幅度改动：接力段内存的扩展在MMU和TLB的基础上完成。可以在避免对处理器核心的过多修改。

三、软件(内核和用户态库)协同的IPC上下文切换实现，通过分离的线程上下文模型和IPC管理模块实现基于硬件扩展的IPC接口，大幅度提高应用程序性能。

1.软件提供的灵活安全配置方案：硬件原语只提供基础的切换功能，然而其安全策略仍然由内核软件来维护。这样的分离能够保证内核对于IPC的灵活管理，达到和传统方案相同的安全级别。

2.硬件和内核共同维护调用栈机制：硬件原语会将调用链的信息记入调用栈(link stack)。内核可以通过调用栈回溯处理IPC异常机制；

3.根据信任级别决定用户态的保存/恢复的状态：硬件原语只负责核心的上下文切换(如页表)，而用户态寄存器等交给用户态库自己维护。相比传统的通过内核的方式(会固定将所有的相关寄存器保存)，该方案允许用户态根据IPC远端的服务进程进行选择性地保存状态。

如果远端服务进程可信：那么客户端可以只选择保存少量的状态，和传统的函数调用相似

如果远端不可信，那么客户端可以选择和内核维护的方式相同，保存所有的状态

4.服务端动态扩展机制：硬件原语允许多个客户端同时调用过一个客户端。通过在软件层支持re-entrant的工作线程分配方法，可以实现服务端线程动态扩展的功能，达到重用客户端的调度上下文的目的。

四、软件(内核和用户态库)协同的安全零拷贝传输，通过维护接力段内存的一致性/唯一性，避免如TOCTTOU这样的安全风险。

1.接力段内存实现跨链的零拷贝数据传输：通过多实体协调，确定下来最大的接力段内存传输区间，并且结合接力段内存的遮盖(mask)机制，实现跨多实体的安全零拷贝数据传输；

2.权限转移(ownership transfer)特性支持：内核通过维护接力段内存的虚拟地址区间以及接力段内存的物理区间的唯一性，来实现接力段内存交接过程中的权限转移特性。

请参考图18，为本实施例提供的一种计算机系统的结构示意图。该计算机系统可以为智能手机、应用于无人驾驶汽车的自动驾驶设备等。如图所示，该计算机系统包括通信模块510、传感器520、用户输入模块530、输出模块540、处理器550、音视频输入模块560、存储器570以及电源580。

通信模块510可以包括至少一个能使该计算机系统与通信系统或其他计算机系统之间进行通信的模块。例如，通信模块510可以包括有线网络接口、广播接收模块、移动通信模块、无线因特网模块、局域通信模块和位置(或定位)信息模块等其中的一个或多个。这多种模块均在现有技术中有多种实现，本实施例不再一一描述。

传感器520可以感测系统的当前状态，诸如打开/闭合状态、位置、与用户是否有接触、方向、和加速/减速，并且传感器520可以生成用于控制系统的操作的感测信号。

用户输入模块530，用于接收输入的数字信息、字符信息或接触式触摸操作/非接触式手势，以及接收与系统的用户设置以及功能控制有关的信号输入等。用户输入模块530包括触控面板和/或其他输入设备。

输出模块540包括显示面板，用于显示由用户输入的信息、提供给用户的信息或系统的各种菜单界面等。可选的，可以采用液晶显示器(liquid crystal display，LCD)或有机发光二极管(organic light-emitting diode,OLED)等形式来配置显示面板。在其他一些实施例中，触控面板可覆盖显示面板上，形成触摸显示屏。另外，输出模块540还可以包括音频输出模块、告警器以及触觉模块等。

音视频输入模块560，用于输入音频信号或视频信号。音视频输入模块560可以包括摄像头和麦克风。

电源580可以在处理器550的控制下接收外部电力和内部电力，并且提供系统的各个组件的操作所需的电力。

处理器550可以指示一个或多个处理器，例如，处理器550可以包括一个或多个中央处理器，或者包括一个中央处理器和一个图形处理器，或者包括一个应用处理器和一个协处理器(例如微控制单元或神经网络处理器)。当处理器550包括多个处理器时，这多个处理器可以集成在同一块芯片上，也可以各自为独立的芯片。一个处理器可以包括一个或多个物理核，其中物理核为最小的处理单元。

本实施例提供的XPC引擎551(也可以称进程间通信引擎，或简称通信引擎)设置在处理器550上。具体的，XPC引擎551可以与处理器550集成在一块芯片上，或者与处理器设置在一块单板上。在其他实施例中，XPC引擎551还可以与处理器550通过其它非图示的方式连接。XPC引擎的具体实现可参考前述实施例，在此不再赘述。

存储器570存储计算机程序，该计算机程序包括操作系统程序572和应用程序571等。典型的操作系统如seL4、L4、或谷歌公司提供的Fuchsia等微内核操作系统；又如微软公司的Windows，苹果公司的MacOS等用于台式机或笔记本的系统；又如谷歌公司开发的基于

的安卓

系统等用于移动终端的系统等。

存储器570可以是以下类型中的一种或多种：闪速(flash)存储器、硬盘类型存储器、微型多媒体卡型存储器、卡式存储器(例如SD或XD存储器)、随机存取存储器(random access memory,RAM)、静态随机存取存储器(static RAM,SRAM)、只读存储器(read only memory,ROM)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、可编程只读存储器(programmable ROM,PROM)、磁存储器、磁盘或光盘。在其他一些实施例中，存储器570也可以是因特网上的网络存储设备，系统可以对在因特网上的存储器570执行更新或读取等操作。

处理器550用于读取存储器570中的计算机程序，然后执行计算机程序定义的方法，例如处理器550读取操作系统程序572从而在该系统运行操作系统以及实现操作系统的各种功能，或读取一种或多种应用程序571，从而在该系统上运行应用。本申请提供的XPC方案如果用软件形式实现，就可以以计算机程序的方式存储在存储器570中，由处理器550读取并执行。

存储器570还存储有除计算机程序之外的其他数据573，例如本申请中涉及的x-entrytable、link stack、relay segment list等。

图18中各个模块的连接关系仅为一种示例，本申请任意实施例提供的方法也可以应用在其它连接方式的终端设备中，例如所有模块通过总线连接。图18中各个模块的划分仅是逻辑上的划分，并不代表硬件上一定是分开的。图18中各个模块在本申请的其他实施例中未必是必要的。

另外，本申请还提供与本申请提供的方案相关的存储介质、计算机程序产品、计算机程序等。具体实现可参考前述实施例。

为完整描述本申请的方案，本申请将实现方式分开多个部分介绍，为了更好地让读者理解本申请的方案，本申请也提供了不同的案例来说明整个方案。应理解的是，各个部分之间存在一些关联，相互关联的实现可相互参考。案例与各个部分的实现之间存在一些重复，也可以相互参考，但这并不意味着某种案例一定要按照某种过程来实现。

需要说明的是，为了方便应用和理解，本申请实施例为提到的一些系统、模块、器件、元素、数据结构以及指令等进行了命名，这些命名的大写或小写在无特殊说明的情况下均是相同的含义。同时，这些命名可以根据需求变更，不应作为对本申请所提供方案的限定。

需要说明的是，本实施例提供的方案可以应用于终端设备或服务器等。这里的终端设备包括但不限于智能手机、车载装置(例如自动驾驶设备)、个人计算机、人工智能设备、平板电脑、个人数字助理、智能穿戴式设备(例如智能手表或手环、智能眼镜)、智能语音设备(例如智能音箱等)、虚拟现实/混合现实/增强显示设备或网络接入设备(例如网关等)等。服务器可以包括存储服务器或计算服务器等。

需要说明的是，前述实施例中提出模块或单元的划分仅作为一种示例性的示出，所描述的各个模块的功能仅是举例说明，本申请并不以此为限。本领域普通技术人员可以根据需求合并其中两个或更多模块的功能，或者将一个模块的功能拆分从而获得更多更细粒度的模块，以及其他变形方式。

以上描述的各个实施例之间相同或相似的部分可相互参考。本申请中的“多个”若无特殊说明，指两个或两个以上，或“至少两个”。本申请中的“A/B”包括三种情况：“A”、“B”和“A和B”。本申请中一个对象的“标识(id)”指的是唯一标识该对象的信息，该“标识”可以直接标识该对象，例如对象的名称，也可以间接指示该对象，例如对象的存储地址。本申请中“第一”、“第二”、“第三”等仅为了区分表述，没有限定顺序的意思；另外，第一对象和第二对象在某些情况下有可能合并或指同一对象；再者，由于没有限定顺序，所以没有第一，也可以有第二或第三。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本申请的一些具体实施方式，但本申请的保护范围并不局限于此。

Claims

一种进程间通信的方法，其特征在于，所述方法应用于计算机设备，所述计算机设备包括硬件层以及运行在所述硬件层上的操作系统，所述操作系统上运行有待通信的调用者和被调用者，所述计算机设备还包括通信引擎；所述方法包括：

所述调用者调用第一指令，所述第一指令由所述通信引擎执行以实现从所述调用者的上下文到所述被调用者的上下文的切换；或者

所述被调用者调用第二指令，所述第二指令由所述通信引擎执行以实现从所述被调用者的上下文到所述调用者的上下文的切换。
根据权利要求1所述的方法，其特征在于，所述通信引擎执行所述第一指令实现上下文切换的过程包括：

根据所述第一指令中的被调用者标识确定所述被调用者的上下文；

保存所述调用者的上下文；

切换到所述被调用者的上下文。
根据权利要求2所述的方法，其特征在于，所述通信引擎在执行所述第一指令时还包括：

获取所述调用者的能力信息，所述能力信息用于指示所述调用者是否有权限调用所述被调用者；

当根据所述能力信息确定所述调用者有权限调用所述被调用者时，执行所述上下文切换的过程。
根据权利要求1-3任意一项所述的方法，其特征在于，在所述调用者调用第一指令之前，所述方法还包括：保存所述调用者的上下文，所述上下文为所述调用者的部分上下文。
根据权利要求2-4任意一项所述的方法，其特征在于，所述通信引擎执行所述第二指令实现上下文切换的过程包括：

读取保存的所述调用者的上下文，并切换到所述调用者的上下文。
根据权利要求1-5任意一项所述的方法，其特征在于，所述方法还包括：

所述调用者申请内存区域，并将所述内存区域的地址设置在所述通信引擎包含的寄存器中；

所述调用者将待传输给所述被调用者的数据存储在所述内存区域中，所述被调用者用于通过所述寄存器中存储的地址来访问所述内存区域以获得所述数据。
一种实现进程间通信的方法，其特征在于，所述方法包括：

接收调用者发送的第一指令，所述第一指令中包含被调用者的标识；

根据所述被调用者标识在第一寄存器指示的服务集合中确定所述被调用者的上下文，所述第一寄存器用于存储所述服务集合的内存地址，所述服务集合包括一个或多个被调用者的上下文信息；

将所述调用者的上下文保存在第二寄存器指示的返回信息集合中，所述第二寄存器用于存储所述返回信息集合的内存地址，所述返回信息集合包括一个或多个调用者的上下文信息；

切换到所述被调用者的上下文。
根据权利要求7所述的方法，其特征在于，在所述根据所述被调用者标识在第一寄存器指示的服务集合中确定所述被调用者的上下文之前，所述方法还包括：

根据第三寄存器指示的能力信息确定所述调用者有权限调用所述被调用者，所述第三寄存器用于存储所述能力信息的地址，所述能力信息用于指示所述调用者是否有权限调用所述被调用者。
根据权利要求7或8所述的方法，其特征在于，还包括：

将以下信息中的任意一项或两项预取到缓存中：所述服务集合中包括的一个或多个被调用者的上下文信息、或所述能力信息。
根据权利要求7-9任意一项所述的方法，其特征在于，采用异步的方式执行以下步骤：将所述调用者的上下文保存在第二寄存器指示的返回信息集合中。
根据权利要求7-10任意一项所述的方法，其特征在于，所述被调用者的上下文的确定步骤或所述调用者的上下文的保存步骤采用被标记的转换检测缓冲区TLB实现。
根据权利要求7-11任意一项所述的方法，其特征在于，所述方法还包括：

将第四寄存器指示的内存区域的访问权限赋予所述被调用者，其中，所述第四寄存器用于存储所述内存区域的地址信息，所述内存区域是所述调用者申请的，所述内存区域用于存储所述调用者待传输给所述被调用者的数据。
根据权利要求7-11任意一项所述的方法，其特征在于，所述方法还包括：

将第四寄存器和第五寄存器指示的第二内存区域的访问权限赋予所述被调用者，其中所述第四寄存器用于存储第一内存区域的地址信息，所述第五寄存器则存储有用于缩小所述第一内存区域的信息，所述第二内存区域为缩小后的第一内存区域。
根据权利要求7-13任意一项所述的方法，其特征在于，所述方法还包括：

接收所述被调用者发送的第二指令，所述第二指令用于指示返回所述调用者的上下文；

从所述第二寄存器指示的所述返回信息集合中获取所述调用者的上下文；

切换到所述调用者的上下文。
根据权利要求7-14任意一项所述的方法，其特征在于，保存的所述调用者的上下文为选择的所述调用者的部分上下文。
一种内存管理方法，其特征在于，所述方法包括：

接收虚拟地址；

确定所述虚拟地址是否在接力段内存的虚拟地址区间内，所述接力段内存的虚拟地址区间、物理地址区间以及所述虚拟地址区间和所述物理地址区间的映射关系存储在接力段寄存器中；

当确定所述虚拟地址在接力段内存的虚拟地址区间内时，根据所述接力段寄存器中存储的所述映射关系确定所述虚拟地址对应的物理地址。
一种进程间通信的管理方法，其特征在于，所述方法包括：

接收服务端的服务注册请求，所述服务注册请求用于请求注册服务；

根据第一寄存器中的地址信息将所述服务的上下文信息保存在第一存储区域，所述地址信息指示所述第一存储区域。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

接收对客户的授权请求，该授权请求用于请求将服务的调用权限授权给所述客户；

当确定所述客户有权限调用所述服务时，将所述客户的能力信息设置为指示所述客户有权限调用所述服务，所述能力信息存储在第三存储区域，所述第三存储区域的地址信息存储在第三寄存器中。
根据权利要求17-18任意一项所述的方法，其特征在于，所述方法还包括：

接收异常；

当确定所述异常为客户与服务端进行通信的通信异常时，从返回信息集合中读取客户的上下文信息，所述返回信息集合包括一个或多个客户的上下文信息，所述返回信息集合存储在第二存储区域，所述第二存储区域的地址信息存储在第二寄存器中；

根据所述客户的上下文信息执行恢复操作。
根据权利要求19所述的方法，其特征在于，所述从返回信息集合中读取客户的上下文信息，包括：

根据所述第二寄存器中存储的所述第二存储区域的地址信息从所述第二存储区域中读取所述返回信息集合中与所述客户对应的上下文信息。
一种内存分配方法，其特征在于，包括：

响应于内存申请请求，确定待分配的物理内存区域是否和已分配的物理内存区域存在交集；

当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配；

分配虚拟内存区域，将所述待分配的物理内存区域和所述虚拟内存区域的映射关系保存在第四寄存器中；

返回所述虚拟内存区域的地址。
根据权利要求21所述的方法，其特征在于，当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配包括：

当确定所述待分配的物理内存区域和所述已分配的物理内存区域不存在交集，且确定当前正在使用的物理内存区域与所述分配的物理内存区域不存在交集时，将所述待分配的物理内存区域标记为已分配。
根据权利要求21或22所述的方法，其特征在于，还包括：

响应于内存释放请求，清空所述第四寄存器。
一种计算机设备，其特征在于，所述计算机设备包括硬件层以及运行在所述硬件层上的操作系统，所述操作系统上运行有待通信的调用者和被调用者，所述计算机设备还包括通信引擎，所述通信引擎用于执行如权利要求7-15任意一项所述的方法。
一种进程间通信的装置，其特征在于，所述装置包括：

第一单元，用于接收调用者发送的第一指令，所述第一指令中包含被调用者的标识；

第二单元，用于根据所述被调用者标识在第一寄存器指示的服务集合中确定所述被调用者的上下文，所述第一寄存器用于存储所述服务集合的内存地址，所述服务集合包括一个或多个被调用者的上下文信息；

第三单元，用于将所述调用者的上下文保存在第二寄存器指示的返回信息集合中，所述第二寄存器用于存储所述返回信息集合的内存地址，所述返回信息集合包括一个或多个调用者的上下文信息；

第四单元，用于切换到所述被调用者的上下文。
一种进程间通信的装置，其特征在于，所述装置包括处理器核和多个寄存器，其中所述处理器核用于执行如权利要求7-15任意一项所述的方法。
一种内存管理单元MMU，其特征在于，所述内存管理单元包括：

第一模块，用于接收虚拟地址；

第二模块，用于确定所述虚拟地址是否在接力段内存的虚拟地址区间内，所述接力段内存的虚拟地址区间、物理地址区间以及所述虚拟地址区间和所述物理地址区间的映射关系存储在接力段寄存器中；

第三模块，用于当确定所述虚拟地址在接力段内存的虚拟地址区间内时，根据所述接力段寄存器中存储的所述映射关系确定所述虚拟地址对应的物理地址。
一种计算机存储介质，其特征在于，所述计算机存储介质用于存储计算机程序，当所述计算机程序被一个或多个处理器执行时实现如权利要求17-23任意一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品用于存储计算机程序，当所述计算机程序被一个或多个处理器执行时实现如权利要求17-23任意一项所述的方法。