Апаратне забезпечення засобів захисту

♦    підтримка взаємодії між процесами.

Деякі із зазначених завдань виконують  виключно програмні засоби, а деякі  реалізовано частково програмно, а  частково апаратно. Наприклад, створення, знищення і планування процесів реалізовано програмно, а диспетчеризацію процесів — за інтенсивного застосування апаратних засобів. До завдань планування належать такі:

• визначення часу, коли буде змінено процес, що виконується;
• вибирання з черги готових процесів наступного процесу для виконання.

Рис. 10.5. Трансляція віртуальної адреси у разі сегментно-сторінкового розподілу пам'яті

 

 

 

 

 

 

 

 

 

Переключення процесів, тобто звільнення процесора від виконання поперед нього процесу і здійснення всіх необхідних дій для початку виконання наступного процесу, є завданням диспетчеризації.

Виконання всіх цих завдань суттєво впливає  на певні аспекти безпеки:

 ♦    надійність і стабільність роботи ОС;

• гарантованість забезпечення процесів необхідними ресурсами;
• здатність ОС протистояти некоректним діям з боку окремих процесів, на приклад, спроб:
• несанкціонованого доступу до системних ресурсів;

♦   захоплення великих об'ємів ресурсів або їх монополізації;

• несанкціонованого запуску нових процесів;
• несанкціонованого доступу до ресурсів інших процесів (програмного коду, пам'яті).

Щоб реалізувати  керування процесами, використовують дві структури дескриптор процесу  і контекст процесу.

Дескриптор процесу — це структура даних, яка містить необхідну для планування процесів інформацію. Операційна система заносить у дескриптор (різні oпeраційні системи підтримують різні формати цієї структури), зокрема, такі дані:

• ідентифікатор процесу;
• відомості про розташування виконуваного модуля в оперативній пам'яті;
• інформацію щодо привілейованості процесу;
• дані про пріоритет процесу;

♦    інформацію щодо прав доступу до процесу.

Приклади дескрипторів процесів: у системі UNIX — структура ргос, у систем і Windows — object-process (об'єкт-процес), у системі OS/2 — РСВ (Process Con

trol Block — блок керування процесом), OS/360 — ТСВ (Task Control Block блок керування задачею).

Контекст процесу — це структура даних, яка містить інформацію, необхідну для диспетчеризації процесів. Основним призначенням контексту є збереження всієї інформації, необхідної для поновлення виконання процесу після його переривання. Це, по-перше, стан компонентів комп'ютера в момент переривання процесу, зокрема, вміст регістрів процесора, режим його роботи, прапорці, маски переривань, значення лічильника команд і, по-друге, параметри операційного середовища, а саме: посилання на відкриті файли, дані про незавершені операції введення-виведення, коди помилок системних викликів, що виконуються процесом, тощо. Приклади контекстів процесів: у системі UNIX — структура user, у системі Windows — TSS (Task State Segment).

До функцій  захисту, які реалізують за допомогою  безпосередньо засобів планування і диспетчеризації процесів, належать:

♦ контроль за виділенням процесам процесорного часу з метою запобігання перевищенню квот або монополізації процесора;

 ♦ контроль за викликами одними процесами інших задля забезпечення встановлених правил доступу.

 

 

 

 

 

Здійснювати контроль за викликами  процесів можна, застосовуючи дискреційні та мандатні принципи керування доступом. У першому випадку в дескрипторі процесу має бути передбачена область даних, яка визначає права доступу інших процесів на запуск, зміну стану і пріоритету, знищення цього процесу або інші дії, що можуть бути виконані над дескриптором процесу, коли сам процес не виконується (тобто знаходиться у стані готовності або очікування). Права доступу можуть визначатися за допомогою списку керування доступом. Слід зауважити, що список керування доступом є досить великою структурою, і роботу з ним складно (хоча й можливо) організувати на апаратному рівні.

Набагато легше  реалізувати мандатне керування  доступом. Така реалізація значно ефективніша, легко досягається апаратними засобами, тому не лише швидка, але й надійна, через що її частіше застосовують. Кожному процесу надається певний рівень виконання, який позначається цілим числом. У найпростішому випадку процеси з нижчим рівнем виконання не зможуть викликати програмний код, якому присвоєний вищий рівень, а також отримати доступ до пов'язаних з ним структур даних. Таким чином утворюються так звані кільця захисту. Коли їх реалізують апаратно, максимальна кількість кілець захисту визначається за допомогою апаратури (центрального процесора), але ОС може і не використовувати ці можливості повною мірою. Більшість RISC- процесорів підтримують лише два рівні виконання процесів, тобто два кільця захисту, — рівень ядра (Kernel Mode) і рівень користувача (User Mode), або рівень прикладних програм. Відповідно й ОС, розроблені для таких процесорів (різні версії UNIX і Windows), підтримують лише два рівні виконання процесів. Популярні процесори Intel х86 (починаючи з 80286) підтримують чотири кільця захисту. Є такі ОС, що повністю використовують цю властивість процесорів (найпопулярнішою з них була OS/2).

Захист дескрипторів і контекстів процесів від несанкціонованого  доступу здійснюється засобами контролю доступу до областей оперативної пам'яті, оскільки ці структури переважно розташовані саме в системній області оперативної пам'яті.

10.4. Особливості архітектури процесорів Intel х86

У цьому підрозділі мова йтиме про 32-розрядні процесори Intel, здатні працювати в захищеному режимі: 80386, 80486, різні процесори Pentium і Celeron. Ці процесори підтримують зворотну сумісність і мають багато спільних рис. Саме під час проектування процесора 80386 близько 20 років тому компанія Intel розробила програмну модель процесора, яку використовують і дотепер. Кожна нова модель процесора має суттєві відмінності, які здебільшого стосуються розширення його можливостей завдяки додаванню нових наборів команд, арифметичних пристроїв, груп регістрів. Ці процесори можуть мати кардинально змінену внутрішню будову, що дає змогу з більшими швидкістю та інтелектом виконувати задану послідовність команд, але мало торкаються зовнішньої, доступної програмісту структури процесора, яка, власне, і становить його програмну модель. У цьому розділі ми розглянемо лише ті функції процесорів х86, які забезпечують захист областей пам'яті та підтримують ізоляцію процесів під час їх квазіпаралельного

 

 

 

Таблиця 10.1.	Регістри  процесорів Intel х86
Позначення	Назва	Особливості використання
Регістри  загального призначення
cax/ax/ah/al	Акумулятор (Accumulator register)	Основний  регістр для зберігання операндів  арифметичних і логічних команд; у  деяких командах адресується неявно, тому його використання обов'язкове
ebx/bx/bh/bl	Базовий регістр (Base register)	Використовується  для зберігання базової адреси деякого  об'єкта в пам'яті
ecx/cx/ch/cl	Лічильник (Counter register)	Використовується  в командах, які виконують дії, що повторюються, наприклад для організації циклів (команда loop); такі команди можуть аналізувати значення есх (есх=0 — умова виходу з циклу) і автоматично зменшувати есх на одиницю за кожного проходження

виконання, а також наведемо необхідні для  їх розуміння відомості, що стосуються набору і структури регістрів  процесора. Детальнішу інформацію про  процесори Intel х86 можна знайти, наприклад, у [63, 92, 94].

 

10.4.1. Регістри процесорів х86

Сучасні процесори Pentium, як відомо, мають потужне «серце» з усіма ознаками 
архітектури RISC: великим регістровим файлом із 40 універсальними регістрами, 
механізмом перевпорядкування команд і перейменування регістрів. Арифметичні та логічні виконуючі пристрої процесора фактично працюють зовсім з іншою 
системою команд — це мікрокоманди, на які спеціальні пристрої декодування 
«розбирають» вихідний програмний код. Але все це недоступне ззовні, а програм 
на модель процесора визначає набір команд, що має типові ознаки архітектури CISC, зокрема, порівняно невелику кількість доступних програмісту регістрі и 
процесора, багато способів адресації операндів і команди, що поєднують арифметичні та логічні операції з адресацією операндів у пам'яті.

Регістри  процесора х86 поділено на групи, і майже кожен із них має своє

специфічне  призначення. Далі перелічено основні  такі групи:

• регістри загального призначення;

• покажчик інструкцій (або програмний лічильник) і регістр прапорців; 
  ♦  регістри сегментів;

• регістри системних адрес;
• регістри керування;
• регістри налагодження і тестування;
• регістри математичного сопроцесора;
• регістри розширень (ММХ, ХММ).

У табл. 10.1 наведено основні відомості про деякі з регістрів [63, 94].

 

 

 

 

 

 

 

Таблиця 10.1 (продовження)
Позначення	Назва	Особливості використання
cdx/dx/dh/dl	Регістр даних	Використовується  разом із акумулятором для
	(Data register)	зберігання  операндів; у деяких командах його використання обов'язкове, позаяк адресація може здійснюватися неявно
esi/si	Індекс  джерела	Ці  два регістри використовуються в так званих
	(Source Index	ланцюгових  операціях, коли здійснюється
	register)	послідовне  оброблення елементів, що утворюють
cdi/di	Індекс  одержувача (Destination Index register)	ланцюг  або неперервний ряд (наприклад, копіювання рядка символів або масиву значень
		з одної  області пам'яті до іншої); при  цьому початкова адреса області-джерела  заноситься в esi, початкова адреса області-одержувача — в edi, а кількість елементів, що копіюються — в есх
esp/sp	Покажчик  стека	Показує вершину стека в поточному  сегменті стека;
	(Stack Pointer	значення  цього регістра автоматично змінюється
	register)	після виконання операцій записування  у стек і зчитування із стеку (push/pushf/pop/popf)
ebp/bp	Покажчик  бази	Може  показувати на довільні дані всередині  стека
	(Base Pointer	й активно  використовується для передавання  даних
	register)	через стек, наприклад під час виклику  процедури; ebp може також показувати на будь-які дані, зокрема в сегменті даних (в останньому випадку його часто використовують разом з ebx)
Покажчик інструкцій і регістр прапорців
еір/ір	Покажчик	Вказує  на команду, яку процесор має виконати
	інструкцій	наступною (точніше, яку він наступною має
	(Instruction	завантажити на конвеєр оброблення). Заміна вмісту
	Pointer register)	цього регістра викликає переключення процесора на іншу команду або послідовність команд. Таку заміну не можна виконувати явно, проте її може бути здійснено автоматично після виконання деяких команд: команд переходу jmp (а також численних команд умовних переходів), команд виклику процедур call, команд організації циклів loop. Залежно від того, яку адресацію використано у програмі — 32- або 16-розрядну — процесор працює з 32-розрядним регістром еір або з його молодшою половиною ір, сумісною із програмним кодом для процесорів 8086
eflags/ flags	Регістр прапорців	Окремі  біти цього регістра — прапорці — мають
	(Flag register)	певне функціональне призначення. Вони апаратно встановлюються в результаті виконання  певних команд та (або) умов. Значення прапорців  перевіряються під час виконання майже всіх команд і можуть впливати як на результат їх виконання, так і на режим роботи процесора. Молодша половина регістра eflags повністю аналогічна регістру flags процесора 8086

 

 

 

 

 

Таблиця 10.1 (продовження)
Позначення	Назва	Особливості використання
Регістри  сегментів
CS	Сегмент коду	Адресує сегмент коду, який виконується
	(Code Segment	процесором. Для переходу в інший сегмент  коду
	register)	необхідно завантажити нове значення в регістр cs, причому явних команд для цього не існує: це здійснюється автоматично під час виконання процесором команд jmp або call
SS	Сегмент стека	Адресує сегмент стека, з яким у поточний момент
	(Stack Segment	працює  процесор. Для організації іншого стека
	register)	необхідно завантажити в ss нове значення, при
		цьому потрібно зберегти поточне значення ss, щоб мати змогу повернутися назад
ds	Сегмент даних	Адресує дані в оперативній пам'яті, з  якими працює
	(Data Segment	процесор; сегмент ds є основним і адресується
	register)	неявно
es, gs, fs	Додаткові	Адресують дані в оперативній пам'яті, з  якими
	сегменти  даних	працює  процесор; ці сегменти даних потребують
	(Extension Data	явної адресації за допомогою спеціальних  префіксів)
	Segment register)	у командах
Регістри  системних адрес
gdtr	Регістр глобальної	Має 48 розрядів, з-поміж яких 32 старших розряди
	таблиці	становлять  лінійну базову адресу глобальної таблиці
	дескрипторів	дескрипторів  у пам'яті, а 16 молодших розрядів
	(Global Descriptor	задають розмір таблиці
	Table Register)"
Idtr	Регістр локальної	16-розрядний  регістр, що містить селектор, який
	таблиці	вказує  на дескриптор у глобальній таблиці, що
	дескрипторів	описує  спеціальний сегмент (локальну таблицю
	(Local Descriptor	дескрипторів  процесу), який виконується в даний
	Table Register)	момент
idtr	Регістр таблиці	48-розрядний  регістр, за будовою аналогічний
	дескрипторів	регістру gdtr
	переривань
	(Interrupt
	Descriptor Table
	Register)
tr	Регістр задачі	16-розрядний  регістр, що містить селектор, який
	(Task Register)	вказує  на дескриптор у глобальній таблиці, що описує спеціальний сегмент (сегмент  стану задачі (TSS)), який містить контекст поточного процесу
Регістри  керування
cr0		Містить прапорці, які суттєво впливають  на роботу процесора і відображають глобальні (не залежні від конкретної задачі) ознаки його функціонування. Деякі важливі системні прапорці з цього регістра: ре (Protect Enable), біт 0 — вмикає захищений режим роботи процесора; cd (Cache Disable), біт 30 — вмикає використання внутрішньої кеш-пам'яті (кеш першого рівня); pg (Paging), біт 31 — вмикає сторінкову трансляцію адрес