Уровни привилегий и защита по привилегиям
В ОС, использующих страничную или сегментно-страничную систему, для решения проблемы защиты данных могут использоваться средства двух видов:
1. Средства программного характера, с помощью которых защита реализуется путем размещения программ и данных по непересекающимся участкам линейного ВАП с помощью таблиц дескрипторов сегментов, а также с помощью индивидуальных для каждой программы таблиц страничного преобразования, что исключает перекрытие этих программ в физической памяти.
2. Средства аппаратного уровня, которые образуются за счет использования системных структур данных. Они соответствуют способу защиты, который называется защитой по привилегиям.
Каждому программному сегменту назначается определенный уровень защиты (уровень привилегий), код которого указывается в специальном поле дескриптора сегмента. Это поле имеет название DPL – Descriptor Pivilege Level. Кроме того, уровень привилегий указывается и во всех дескрипторах прерываний, или шлюзах. Уровень, хранящийся в дескрипторе, назначается автоматически всем объектам, входящим в данных сектор. В ОС Windows предусмотрено всего четыре таких уровня – 00, 01, 10, 11. Если сегменту команд назначается уровень с определенным кодом, то все процедуры получают тот же уровень защиты. Аналогично, все данные, входящие в сегмент данных, имеют тот уровень защиты, который указан в поле DPL дескриптора сегмента данных.
Уровень привилегий используемого в данный момент сегмента команд называется текущим уровнем привилегий – Current Privilege Level. Он определяется полем DPL селектора сегмента команд, который загружается в регистр CS процессора.
Система защиты по привилегиям основана на сравнении уровня CPL текущего процесса со значениями поля DPL тех сегментов, к которым обращается программа. Если содержимое полей одинаково, то обращение к памяти считается корректным и разрешается, в противном случае возникает прерывание по защите памяти. Защита построена так, что чем больше значение уровня, тем меньшими привилегиями обладает сегмент с этим уровнем. При описании системы защиты, уровни с большими привилегиями называют внутренними, а с меньшими – внешними. Поэтому их представляют в виде колец защиты.
На уровне 0 – ядро. На уровне 3 – все прикладные и некоторые менее важные системные. Уровни 1 и 2 не используются.
1. Данные из сегмента с некоторым уровнем привилегий могут быть получены программой того же или более внутреннего уровня.
2. Процедура или функция из сегмента с некоторым уровнем привилегий может быть вызвана программой только того же уровня, или более внешнего. При этом, вызов должен осуществляться не непосредственно, а через специальный дескриптор – шлюз вызова. Этот дескриптор аналогичен дескриптору исключений – в нем имеется адресная информация вызываемой процедуры или функции.
3. Каждый уровень привилегий имеет свой собственный стек, поэтому при переключении на другой уровень исходный стек сохраняется.
4. Все команды для защиты памяти и работы с памятью являются системными, и могут использоваться только в программах уровня 0. Это исключает вмешательство прикладных программ в работу системных.
Из перечисленных правил вытекает, что в ОС Windows системные и прикладные программы разделены друг от друга по разным уровням привелегий. Прикладные программы не могут разрушить системные поля данных, которые находятся в сегментах внутренних уровней. Вместе с тем, вызов системных функций из прикладных программ возможен, но только для тех из них, для которых предусмотрены шлюзы вызова.
В поле DPL шлюзов вызова указывается уровень внешнего кольца, то есть уровень прикладной программы. Если же в шлюзе вызова некоторой процедуры указывается уровень 0, то такую процедуру может вызвать функция только того же уровня 0.