核心态

核心状态（也称为处理器模式、CPU 状态、CPU 特权级别和其他名称）是某些计算机体系结构的中央处理器的操作模式，它对某些正在运行的进程可以执行的操作的类型和范围施加限制 中央处理器。 这种设计允许操作系统以比应用程序软件更多的权限运行。

理想情况下，只允许高度信任的内核代码在不受限模式下执行； 其他一切（包括操作系统的非监督部分）都在受限模式下运行，并且必须使用系统调用（通过中断）来请求内核代表它执行任何可能损坏或危及系统的操作，从而使其不可能 不受信任的程序更改或损坏其他程序（或计算系统本身）。

然而在实践中，系统调用需要时间并且会损害计算系统的性能，因此系统设计者允许一些时间关键型软件（尤其是设备驱动程序）以完全内核权限运行的情况并不少见。

可以实现多种模式——允许管理程序在其下运行多个操作系统管理程序，这是当今可用的许多虚拟机系统的基本设计。

不受限模式通常称为内核模式，但也存在许多其他名称（主模式、主管模式、特权模式等）。 受限模式通常称为用户模式，但也有许多其他名称（从模式、问题状态等）。

内核在内核模式下，CPU 可以执行其体系结构允许的任何操作； 可以执行任何指令，启动任何 I/O 操作，访问任何内存区域，等等。 在另一个核心态中，硬件对 CPU 操作进行了某些限制。 通常，某些指令是不允许的（尤其是那些——包括 I/O 操作——可能会改变机器的全局状态），一些内存区域不能被访问，等等。CPU 的用户模式功能通常是这些功能的一个子集 在内核模式下可用，但在某些情况下，例如非本机架构的硬件仿真，它们可能与在标准内核模式下可用的那些有很大不同。用户一些 CPU 架构支持多种用户模式，通常具有特权层次结构。 这些体系结构通常被称为具有基于环的安全性，其中特权层次结构类似于一组同心环，内核模式位于中心。 Multics 硬件是环安全的xxx个重要实现，但许多其他硬件平台也按照类似的思路设计，包括 Intel 80286 保护模式和 IA-64，尽管在这些情况下使用不同的名称 .

模式保护可以扩展到 CPU 硬件本身之外的资源。

硬件寄存器跟踪 CPU 的当前操作模式，但额外的虚拟内存寄存器、页表条目和其他数据可以跟踪其他资源的模式标识符。 例如，CPU 可能在 Ring 0 中运行，正如 CPU 本身的状态字所指示的那样，但是每次对内存的访问都可以针对访问所针对的虚拟内存段的单独环号进行验证，和/或 针对目标物理页面（如果有）的环号。 这已通过 PSP 手持系统进行了演示。

满足 Popek 和 Goldberg 虚拟化要求的硬件使得编写软件以有效支持虚拟机变得更加简单。 这样的系统可以运行自认为运行在管理员模式但实际上运行在用户模式的软件。