Защита памяти

Реализация специальных средств защиты памяти требуется как для управления доступом процесса к его собственным данным и коду, так и для того, чтобы предотвратить несанкционированный или некорректный доступ процесса к памяти, принадлежащей другим процессам, т.е. процессы должны быть защищены как сами от себя (от выполнения недопустимых операций над своими данными и кодом), так и друг от друга. Особенно важной является защита системных программ и данных, так как их разрушение привело бы к нарушению нормального функционирования всей системы.

Все системы защиты используют разделение и изоляцию адресных пространств отдельных процессов друг от друга.

Наиболее простой способ защиты – защита по правилу “все или ничего”: память в пределах выделенной процессу области может быть доступна для любой цели, но адресация вне этой области запрещена.

При реализации более сложной защиты используются специальные биты, устанавливающие допустимость выполнения всех возможных операций в соответствующей области (например: R – разрешение чтения, W – разрешение записи, E – разрешение исполнения). Эти признаки формируются в “замке”, защищающем область памяти (в “замке” может также содержаться другая информация, описывающая этот раздел памяти). Каждый процесс при попытке доступа к памяти использует “ключ”, являющийся частью его вектора состояния, в котором содержится информация, идентифицирующая адресуемый блок памяти, и описывающая полномочия данного процесса на работу с ним. Если “ключ” процесса не соответствует “замку” (например, процесс пытается выполнить запись в блок памяти, защищенный от записи), выполнение процесса прерывается. Этот метод может эффективно использоваться в системах с непрерывным распределением памяти.

При сегментной или страничной организации памяти информация, обеспечивающая защиту блока памяти, хранится в соответствующей строке таблицы, а запрашиваемые процессом полномочия определяются по дополнительной информации, присутствующей в компонентах виртуального адреса, определяющих блок, и по команде, при выполнении которой произошло обращение к этому блоку памяти.

В большинстве систем процессы и данные ОС имеют большие привилегии, чем пользовательские процессы. В таких системах различаются как минимум два уровня привилегий: уровень супервизора (операционной системы) и уровень пользователя. В системах команд компьютеров выделяются множества команд, выполнение которых может воздействовать на организацию работы системы в целом. Такие команды являются привилегированными и их разрешается выполнять только на уровне супервизора. Попытка выполнить привилегированную команду в пользовательской прикладной программе приводит к прерыванию процесса.

Более сложная форма динамической защиты памяти на основе уровней привилегий обеспечивается использованием кольцевой схемы: процессы, развивающиеся в системе иерархической защиты, образуют концентрические кольца, процессы, находящиеся на внутренних кольцах, защищены в наибольшей степени и имеют максимальные полномочия.

Любые механизмы защиты, реализуемые в ОС должны иметь аппаратную поддержку.

Физическое адресное пространство в компьютерах на базе процессоров Intel (как и в большинстве других машин) организовано просто как массив байтов. С появлением в составе процессоров специальных функциональных блоков управления памятью (БУП) в архитектуре стали различать физическое адресное пространство, реализуемое аппаратурой памяти, и логическое адресное пространство, видимое программистом. Блоки управления памятью процессоров транслируют логические адреса в физические адреса, выставляемые на системную шину.

Вопросы для самопроверки

1. Какова физическая организация оперативной памяти?

2. Опишите известные вам способы адресации данных.

3. Какие запоминающие устройства образуют иерархию запоминающих устройств? Опишите их назначение и основные характеристики.

4. В чем преимущества относительной адресации памяти?

5. Какие способы разрывных распределений памяти вы знаете? Дайте определение сегмента, страницы.

6. Опишите схему трансляции адреса при сегментной организации памяти.

7. Опишите схему страничной трансляции адреса, в чем ее отличие от сегментной трансляции?

8. В чем преимущества сегментно-страничной организации памяти?

9. Опишите общую схему сегментно-страничной организации памяти. Каково назначение ассоциативной памяти в схеме трансляции адресов?

10. Дайте понятие виртуальной памяти. На чем основана ее реализация?

11. Назовите механизмы защиты памяти. Охарактеризуйте их.

5. Архитектура процессоров Intel

История процессоров Intel включает несколько поколений. Первое поколение – процессоры Intel 8086 – стали базовыми для семейства Intel 80x86.

Рассмотрим основные характеристики процессоров.