حلقه حفاظتی
حلقههای حفاظتی[1] (به انگلیسی: protection rings) یا دامنههای حفاظتی سلسلهمراتبی[2][3] در علوم رایانه، سازوکارهایی برای حفاظت از داده و عملکرد از خطا (با افزایش عیبتابی) و رفتارهای بدخواهانه (با ایجاد امنیت رایانهای) است. این دیدگاه از نظر قطری، برخلاف امنیت مبتنی بر توانمندی است.
سیستمعاملهای رایانهای، مراحل مختلفی از دسترسی به منابع را فراهم میکنند. یک حلقه حفاظتی یکی از دو یا بیشتر مرحله یا لایه سلسلهمراتبی از مجوزدهی (حقویژه) در معماری یک سیستم رایانهای است. این موضوع معمولاً به صورت سختافزاری، توسط بعضی از معماریهای CPU اعمال میشود، این معماریها حالتهای CPU مختلفی را در لایه سختافزار یا بهصورت میکروکد تهیه میبینند. این حلقهها به صورت سلسلهمراتبی، یعنی از مجوزدارترین (مورد اعتمادترین، که معمولاً شماره صفر دارد) تا کم مجوزترین (کماعتمادترین، معمولاً با بالاترین شماره حلقه) مرتب میشوند. در بیشتر سیستمعاملها، «حلقه ۰» مرحلهٔ با بیشترین مجوز (حقویژه) است و به صورت مستقیم با سختافزار فیزیکی مثل CPU و حافظه سروکار دارد.
دروازههای خاصی بین حلقهها تهیه دیده شدهاست، که به حلقه بیرونی اجازه میدهد تا به منابع حلقه درونی به صورت از قبل تعریف شده دسترسی یابد، و این متضاد با اجازه دادن به هر استفاده دلخواه است. دسترسی دروازهای صحیح بین حلقهها میتواند امنیت را بهبود دهد، این کار، از طریق جلوگیری برنامههای یک حلقه یا مرحله مجوزدهی از سوءاستفاده از منابعی که برای برنامههای حلقه دیگر درنظرگرفته شدهاند، انجام میشود. برای مثال، جاسوسافزاری که به صورت یک برنامهکاربری در حلقه ۳ اجرا میشود، باید از روشنکردن دوربین وب، بدون اطلاعدادن به کاربر، منع شود، زیرا دسترسی به سختافزار باید یک تابع حلقه ۱ باشد، که این حلقه به افزارهران دستگاه اختصاص دادهشدهاست. برنامههایی مثل مرورگر وب که در حلقههای سطح بالاتر اجرا میشوند، باید دسترسی به شبکه را «درخواست» بدهند، که شبکه یک منبع است که به آن شماره حلقه پایینتری اختصاص دادهشدهاست.
پیادهسازی
حلقههای چندگانه حفاظت در میان مفاهیم انقلابی معرفی شده توسط سیستم عامل Multics بود، یک پیشگام بسیار امن از خانواده سیستم عاملهای یونیکس امروزی است. رایانه GE 645 دارای کنترل دسترسی سختافزاری بود، اما برای پشتیبانی کامل از حلقهها در سختافزار کافی نبود، به همین دلیل Multics آنها را با گیر انداختن درخواستهای انتقال حلقهها در نرمافزار کامل کرد.[4] جانشین آن، Honeywell 6180، آنها را در سختافزار، با پشتیبانی از هشت حلقه اجرا کرد.[5] با این حال، اکثر سیستمها از دو حلقه استفاده میکنند، حتی اگر سختافزارهایی که در آنها اجرا میشوند، حالتهای CPU بیشتری را از آن ارائه میدهند. به عنوان مثال، ویندوز ۷ و ویندوز سرور ۲۰۰۸ (و پیشینیان آنها) تنها از دو حلقه استفاده میکنند، حلقه ۰ مربوط به حالت هسته و حلقه ۳ به حالت کاربر[6] زیرا نسخههای قبلی ویندوز در پردازندههایی که فقط دو سطح حفاظت را پشتیبانی میکردند اجرا میشد.[7]
بسیاری از معماریهای مدرن CPU (از قبیل معماری معماری محبوب اینتل x86) شامل نوعی حفاظت از نوع حلقههای محافظتی هستند، گرچه سیستم عامل ویندوز NT، مانند یونیکس، بهطور کامل از این ویژگی استفاده نمیکند. OS / 2 تا حدودی از سه حلقه استفاده میکرد:[8] حلقه ۰ برای کد کرنل و درایورها، حلقه ۲ برای کدهای با دسترسی (برنامههای کاربر با مجوزهای دسترسی I / O) و حلقه ۳ برای کد غیرمجاز (تقریباً تمام برنامهها). در DOS، تمام برنامهها (کرنل و درایورها و برنامههای سطح کاربر) در حلقه ۳ اجرا میشوند (با این حال، این منحصر به مواردی است که در آن درایورهای حالت محافظت شده یا افزونههای DOS استفاده میشود؛ به عنوان یک سیستم عامل که از آدرس دهی real mode استفاده میکرد، سیستم حفاظت نشدهای بود)، در حالی که ۳۸۶ مموری منیجرهایی مانند EMM386 در حلقه ۰ کار میکنند. علاوه بر این، EMM386 3.xx DR-DOS میتواند به صورت اختیاری برخی از ماژولها (مانند DPMS) را روی حلقه ۱ اجرا کند.
سیستم Multics اصلی دارای هشت حلقه بود، اما بسیاری از سیستمهای مدرن تعداد حلقههای کمتری دارند. سختافزار به کمک ثباتها از حلقه ای که یک رشته پردازش باید در ان اجرا شود آگاه است. در بعضی از سیستمها، قسمتهایی از حافظه مجازی به حلقههای مختلف اختصاص داده شدهاند. یک مثال Data General Eclipse MV / 8000 است که در آن سه بیت بالا رجیستر شمارنده برنامه (PC) به عنوان رجیستر حلقه استفاده میشود. به عنوان مثال، برنامه ای که رجیستر PC ان مقدار 0xE200000 را دارد، به صورت خودکار در حلقه ۷ قرار میگیرد و فراخوانی یک تابع در بخشهای مختلف حافظه بهطور خودکار باعث انتقال حلقه میشود.
سختافزار به شدت راههایی که موجب انتقال کنترل از حلقه ای به حلقه دیگر میشود را محدود میکند و همچنین محدودیتهایی را برای نوع دسترسی به حافظه ای که میتوانند در حلقهها انجام شوند، ایجاد میکند. به عنوان مثال، در x86، یک خاصیت وجود دارد که توسط دستورالعمل call کنترل را به شیوه ای امن از حلقه ای به حلقه دیگر انتقال میدهد ؛ این عمل به عنوان یک سرپرست در بسیاری از سیستم عاملهای که از حلقههای حفاظت استفاده میکنند پیادهسازی شدهاست. محدودیتهای سختافزاری برای محافظت در مقابل رفتارهای خطرناک مفید طراحی شدهاند. علاوه بر این، حلقههای ممنوعه ممکن است دارای قابلیتهای خاصی باشند (مانند استفاده از آدرس دهی real mode که حافظه مجازی را دور میزند).
ARM معماری V7 دارای سه سطح امتیاز: برنامه، سیستم عامل، و Hypervisor. که برخلاف معمول، سطح 0 (PL0) حداقل سطح امتیاز، در حالی که سطح 2 (PL2) بالاترین سطح امتیاز است.[9]
حلقههای محافظت در برخی از سیستمها میتواند با حالتهای پردازنده (master / kernel / privileged / supervisor mode vs. slave / unprivileged / user mode) ترکیب شوند. سیستم عاملها در حال اجرا بر روی سختافزاری که از هر دو حالت پشتیبانی میکنند میتوانند از هر دو نوع حفاظت یا تنها یک استفاده کنند.
استفاده مؤثر از معماری حلقهها نیاز به همکاری نزدیک بین سختافزار و سیستم عامل دارد. سیستم عاملهای طراحی شده برای کار بر روی چندین سختافزار ممکن است استفاده محدودی از حلقهها داشته باشند، اگر آنها در همه پلتفرم (سختافزارها) پشتیبانی نمیشوند. اغلب مدل امنیتی حلقهها به «هسته» و «کاربر» ساده شدهاست، حتی اگر سختافزار حلقههای بیشتری را پشتیبانی کند.
حالتها
در زمینه کامپیوتر، حالت سرپرست یک flag سختافزاری است که میتواند توسط کدهایی که در سطح سیستم اجرا میشوند تغییر کند. برنامههای در حال اجرا در سطح سیستم از این flag استفاده میکنند، در حالی که برنامههای سطح کاربر (مرورگر وب) توانایی استفاده از این flag را ندارند. این پرچم تعیین میکند که آیا میتوان کدهای ماشینی که کارهایی مانند اصلاح ثباتها برای اصلاح descriptor tableها، یا انجام عملیات مانند قطع interruptها ممکن است یا خیر. ایده داشتن دو حالت مختلف برای اجرا برنامهها از جمله " کنترل بیشتر مسئولیت بیشتر میآورد " یک برنامه که درsupervisor mode اجرا میشود هرگز نباید اشتباه کند، زیرا یک اشتباه میتواند موجب سقوط کل سیستم شود.
حالت supervisor mode "یک حالت اجرای در برخی از پردازندهها است که امکان اجرای تمام دستورالعملها، از جمله دستورالعملهای با دسترسیها خاص را فراهم میکند. همچنین ممکن است اجازه دسترسی به یک address space متفاوت را بدهد. در این حالت معمولاً سیستم عاملها اجرا میشود. "[10]
در یک کرنل یکپارچه، سیستم عامل در حالت سرپرست اجرا میشود و برنامهها در حالت کاربر اجرا میشوند. انواع دیگر از سیستم عاملها، مانند سیستم عاملهایی که از کرنل نوع exokernel یا میکروکرنل استفاده میکنند، لزوماً این رفتار را به اشتراک نمیگزارند.
- لینوکس، macOS و ویندوز سه سیستم عامل هستند که از حالت سرپرست / کاربر استفاده میکنند. برای انجام کارهای تخصصی، یک برنامه باید با استفاده از system callها استفاده کند.
- میتوان با استفاده از ماژولهای کرنل کد به کرنل اضافه کرد، اما این کار فقط توسط کاربری که دسترسیهای لازم را دارد قابل انجام است، زیرا این کار میتواند امنیت کل سیستم عامل را تحدید کند.
- DOS (تا زمانی که هیچ سیستم مدریت حافظه ای نظیر EMM386 بارگزاری نشده باشد)، و همچنین سایر سیستم عاملهای ساده و بسیاری از سیستمها نهفته بهطور دائمی در حالت supervisor mode اجرا میشوند، به این معنی که درایورها را میتوان به صورت مستقیم به عنوان برنامههای سطح کاربر نوشت.
اکثر پردازندهها حداقل دو حالت متفاوت دارند. پردازنده x86 دارای چهار حالت مختلف است. برنامههایی که در حلقه ۰ اجرا میشوند میتوانند با سیستم هر کاری انجام دهند و برنامه ای که در حلقه ۳ اجرا میشود باید بتواند در هر زمان بدون تأثیر بر بقیه سیستم کامپیوتر کرش کند. حلقه ۱ و حلقه ۲ به ندرت استفاده میشود، اما میتوانند با سطوح مختلف دسترسی پیکربندی شود.
در اکثر سیستم عاملها جابجایی میان user space و kernel space کار سنگینی است برا مثال برای در خواست getpid این فرایند چیزی حدود ۱۰۰۰–۱۵۰۰ کلاک سایکل زمان میبرد.
موریس ویلکس نوشت:[11]
… در نهایت مشخص شد که حفاظت سلسله مراتبی که ارائه شده حلقهها را با شرایط برنامهنویسی سیستم مقایسه نمیکند و تنها در سیستم ساده ای که تنها دو حالت دارد بهبودی پیدا کرده یا بهبودی نداشتهاست. حلقههای حفاظتی خود را به اجرای سختافزاری سختافزاری سپردند، اما برای آنها چیزی کم نیاورده بود. [. . .] جذابیت محافظت از ریزهها حتی پس از اینکه متوجه شد که حلقههای محافظت جواب نمیدهد، باقی ماندهاست. . . این دوباره یک کوچه کوچه را ثابت کرد. . .
جستارهای وابسته
- دروازه تماس (اینتل)
- بخش حافظه
- حالت محافظت شده – موجود در x86-compatible 80286 CPU و جدیدتر
- IOPL (CONFIG. دستورالعمل SYS) - دستورالعمل OS / 2 برای اجرای کد DLL در حلقه ۲ به جای حلقه ۳
- توصیفگرهای بخش
- حالت مدیریت سیستم (SMM) – گاهی اوقات نیز "حلقه -۲"
- حلقه -۳ روت کیت
پانویس
- «حفاظت دادهها» [رایانه و فنّاوری اطلاعات] همارزِ «data protection»؛ منبع: گروه واژهگزینی. جواد میرشکاری، ویراستار. دفتر دوم. فرهنگ واژههای مصوب فرهنگستان. تهران: انتشارات فرهنگستان زبان و ادب فارسی. شابک ۹۶۴-۷۵۳۱-۳۷-۰ (ذیل سرواژهٔ حفاظت دادهها)
- Karger, Paul A.; Herbert, Andrew J. (1984). "An Augmented Capability Architecture to Support Lattice Security and Traceability of Access". 1984 IEEE Symposium on Security and Privacy. p. 2. doi:10.1109/SP.1984.10001. ISBN 0-8186-0532-4. S2CID 14788823.
- Binder, W. (2001). "Design and implementation of the J-SEAL2 mobile agent kernel". Proceedings 2001 Symposium on Applications and the Internet. pp. 35–42. doi:10.1109/SAINT.2001.905166. ISBN 0-7695-0942-8. S2CID 11066378.
- "A Hardware Architecture for Implementing Protection Rings". Retrieved 27 September 2012.
- "Multics Glossary - ring". Retrieved 27 September 2012.
- Russinovich, Mark E.; David A. Solomon (2005). Microsoft Windows Internals (4 ed.). Microsoft Press. pp. 16. ISBN 978-0-7356-1917-3.
- Russinovich, Mark (2012). Windows Internals Part 1. 6th Ed. Redmond, Washington: Microsoft Press. p. 17. ISBN 978-0-7356-4873-9.
The reason Windows uses only two levels is that some hardware architectures that were supported in the past (such as Compaq Alpha and Silicon Graphics MIPS) implemented only two privilege levels.
- حالت سرپرست FOLDOC
- Maurice Wilkes (April 1994). "Operating systems in a changing world". ACM SIGOPS Operating Systems Review. 28 (2): 9–21. doi:10.1145/198153.198154. ISSN 0163-5980.
منابع
مشارکتکنندگان ویکیپدیا. «Protection ring». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۲ دی ۱۳۹۹.
خواندن بیشتر
- David T. Rogers: A FRAMEWORK FOR DYNAMIC SUBVERSION Thesis, ژوئن ۲۰۰۳ (pdf)
- Glossary of Multics acronyms and terms: Ring بایگانیشده در ۱۷ ژانویه ۲۰۱۶ توسط Wayback Machine
- William J. Caelli: Relearning "Trusted Systems" in an Age of NIIP: Lessons from the Past for the Future. 2002 (pdf)
- Haruna R. Isa, William R. Shockley, Cynthia E. Irvine: A Multi-threading Architecture for Multilevel Secure Transaction Processing 1999 (pdf)
- Ivan Kelly: Report Porting MINIX to Xen 2006
- Paul Barham, Boris Dragovic, Keir Fraser, Steven Hand, Tim Harris, Alex Ho, Rolf Neugebauer, Ian Pratt, Andrew Warfield: Xen and the Art of Virtualization 2003 (pdf)
- Marcus Peinado, Yuqun Chen, Paul England, and John Manferdelli: NGSCB: A Trusted Open System (pdf)
- Michael D. Schroeder, Jerome H. Saltzer: A Hardware Architecture for Implementing Protection Rings 1972
- Intel Architecture Software Developer's Manual Volume 3: System Programming (Order Number 243192) Chapter 4 Protection; section 4.5 Privilege levels. (pdf)
- Tzi-cker Chiueh, Ganesh Venkitachalam, Prashant Pradhan: Integrating segmentation and paging protection for safe, efficient and transparent software extensions 1999 Chapter 3: Protection hardware features in Intel X86 architecture; section 3.1 Protection checks. (pdf)
- Takahiro Shinagawa, Kenji Kono, Takashi Masuda: Exploiting Segmentation Mechanism for Protecting Against Malicious Mobile Code 2000 chapter 3 Implementation; section 3.2.1 Ring Protection (pdf)
- Boebert, William Earl and R. Kain. A Practical Alternative to Hierarchical Integrity Policies. Proceedings of the 8th National Computer Security Conference, 1985.
- Gorine, Andrei and Krivolapov, Alexander. Kernel Mode Databases: A DBMS technology for high-performance applications, Dr. Dobb's Journal, May 2008.