ЭВУ 2 семестр / Презентации ЭВУ в пдф / метода моховикова
.pdfсегмента превращается в регистр адреса таблицы дескрипторов, он хранит указатель на таблицу дескрипторов активного процесса и перезагружается при смене активного процесса. Вычисление реального адреса аппаратурой несколько усложняется:
выбирается сегментная часть виртуального адреса, она служит индексом в таблице дескрипторов; по индексу выбирается запись той таблицы, адрес которой находится в регистре адреса таблицы дескрипторов;
выбранная запись является дескриптором сегмента; часть виртуального адреса, соответствующая смещению, сравнивается с полем длины в дескрипторе;
если смещение в сегменте не превышает его длины, вы-
числяется реальный адрес как сумма базового адреса из дескрип-
тора сегмента и смещения из виртуального адреса.
Примерная структура аппаратно поддерживаемого дескриптора сегмен-
та приведена в главе 10, посвященной дескрипторам и дескрипторным таб-
лицам. Подчеркнем лишь, что данная структура не является обязательной для всех компьютерных архитектур, мы рассматриваем лишь наиболее распро-
страненный ее вариант и используем наиболее часто употребляемые имена полей.
Допустимое количество сегментов определяется разрядностью соответ-
ствующего поля виртуального адреса и может быть весьма большим. Либо аппаратура должна иметь специальный регистр размера таблицы дескрипто-
ров, либо ОС должна подготавливать для процесса таблицу максимально возможного размера, отмечая в ней дескрипторы несуществующих сегментов
(например, нулевым значением поля size). Отметим, что для систем, упако-
вывающих номер сегмента и смещение в одно адресное число, разрядность смещения не является ограничением на длину виртуального сегмента. Вирту-
альный сегмент большего размера представляется в таблице двумя и более обязательно смежными дескрипторами. С точки зрения процесса он обраща-
91
ется к одному сегменту, задавая в нем большое смещение, на самом же деле переполнение поля смещения переносится в поле номера сегмента. Если же простая двоичная арифметика не обеспечивает модификацию номера сегмен-
та, возможность работы с большими сегментами может поддерживаться ОС путем особой обработки прерывания-ловушки «защита памяти».
Каковы преимущества многосегментной модели памяти?
Самое первое преимущество заключается в том, что у процесса появля-
ется возможность разместить данные, обрабатываемые различным образом, в
разных сегментах своего виртуального пространства (так, в ОС Unix, напри-
мер, каждый процесс имеет при начале выполнения три сегмента: кодов,
данных и стека). Каждому сегменту могут быть определены свои права дос-
тупа. Поскольку обращения к памяти могут быть трех видов: чтение, запись и передача управления, то для описания прав доступа достаточно 3-битного поля Read-Write-eXecute, каждый разряд которого определяет разрешение одного из видов доступа. Аппаратные средства большинства архитектур обеспечивают контроль права доступа при трансляции адресов: поле прав доступа включается в дескриптор сегмента, и если поступивший вид обра-
щения не разрешен, то выполняется прерывание-ловушка «нарушение досту-
па».
Другое важное преимущество многосегментной модели заключается в том, что процесс имеет возможность использовать виртуальное адресное пространство, размер которого больше, чем размер доступной реальной па-
мяти. Это достигается за счет того, что не обязательно все сегменты процесса должны одновременно находиться в реальной памяти. Дескриптор каждого сегмента содержит бит present, который установлен в 1, если сегмент подка-
чан в оперативную память, или в 0 – если сегмент вытеснен из нее. Аппара-
тура трансляции адресов проверяет этот бит, и при нулевом его значении вы-
полняет прерывание-ловушку «отсутствие сегмента» (segment falure). В от-
личие от большинства других ловушек, которые в основном сигнализируют об ошибках, при которых дальнейшее выполнение процесса невозможно, эта
92
не приводит к фатальным для процесса последствиям. ОС, обрабатывая это прерывание, находит образ вытесненного сегмента на внешней памяти и подкачивает его в реальную память. Естественно, что процесс, обратившийся к вытесненному сегменту, переводится в ожидание; это ожидание может за-
тянуться, если у ОС имеются проблемы с ресурсом реальной памяти. Когда сегмент будет подкачан, процесс перейдет в очередь готовых и будет активи-
зирован вновь с той команды, которая вызвала прерывание-ловушку. В тех аппаратных системах, которые не обрабатывают бит присутствия в дескрип-
торе сегмента, можно вместо него использовать поле size: ОС должна сбра-
сывать это поле в 0 при вытеснении сегмента и восстанавливать при его под-
качке.
Естественно, что для подкачки сегмента ОС должна знать его адрес на внешней памяти. Подавляющее большинство систем не поддерживают аппа-
ратно поле внешнего адреса в дескрипторе сегмента. Для хранения его ОС может либо использовать поле base, либо хранить этот адрес в расширении таблицы дескрипторов, в котором для каждого сегмента хранится информа-
ция о нем, обрабатываемая только программно. В том же расширении может храниться истинное значение поля size при использовании его вместо поля present.
Очевидно, что в многосегментной модели свопинг приобретает более интенсивный характер. Следовательно, эффективность стратегий управления памятью имеет еще больший вес. Поскольку в реальной памяти размещаются сегменты разной длины, проблемы размещения остаются те же. Для много-
сегментной организации характерны внешние дыры, борьба с которыми ве-
дется перемещением сегментов. Если перемещение сегментов не освобожда-
ет такого количества реальной памяти, которое требуется для удовлетворе-
ния запроса, ОС может принять решение о вытеснении какого-либо сегмента и освобождении занимаемой им реальной памяти. Некоторые системы (Unix)
вытесняют из памяти какой-либо процесс целиком со всеми принадлежащи-
ми ему сегментами, но такое решение может быть эффективным только в том
93
случае, если процессы имеют по незначительному числу сегментов каждый.
Стратегии вытеснения будут подробно рассмотрены позже – в страничной модели памяти.
Отметим, что вытеснение сегмента – не обязательно долгий процесс. Ес-
ли сегмент не имеет прав доступа для записи, то он содержит команды или статические инициализированные данные, копия этого сегмента уже есть на внешней памяти – в файле, содержащем загрузочный образ процесса. Поэто-
му вытеснение такого сегмента не сопровождается перезаписью его на внеш-
нюю память. Даже если в сегмент и разрешена запись, то, возможно, запись еще не производилась, такой сегмент тоже незачем перезаписывать на внеш-
нюю память. Поля used и dirty в дескрипторе сегмента используются при принятии стратегических решений о вытеснении.
Вытеснение одного или нескольких сегментов процесса еще не приво-
дит к его блокированию. Процесс может продолжать выполняться до тех пор,
пока не обратится к одному из вытесненных сегментов.
В многосегментной модели значительно увеличивается объем управ-
ляющей информации, сохраняемой в блоке контекста процесса, даже когда процесс не выполняется. Реальная память, занимаемая блоками контекста не-
активных и даже полностью вытесненных процессов, не может быть отдана другим процессам. Такие участки памяти носят название заголовочных дыр.
Если потери реальной памяти на заголовочные дыры оказываются недопус-
тимо большими, то имеет смысл разбить блок контекста процесса на две час-
ти: меньшую, обязательно сохраняемую в реальной памяти, и большую, ко-
торая может быть вытеснена. В литературе [21; 30] описана ОС MULTICS, в
которой для номера сегмента отводилось 18 двоичных разрядов. Таблица сегментов процесса могла быть настолько большой, что и одна она не поме-
щалась в оперативной памяти. Для преодоления этого противоречия таблица сегментов разбивалась на страницы, которые подвергались свопингу. (ОС
MULTICS была признана неудачным проектом и не получила широкого рас-
94
пространения, но значительно повлияла на последующие проекты ОС, преж-
де всего на Unix).
Чрезвычайно важным преимуществом многосегментной модели являет-
ся возможность разделения (совместного использования) сегментов процес-
сами. Процессы могут быть разработаны так, чтобы виртуальные простран-
ства двух или более процессов перекрывались в каких-то областях. Процессы могут использовать общее виртуальное пространство для обмена данными.
Реализация этой возможности в какой-то мере зависит от аппаратных средств. Во многих вычислительных системах процесс может работать с не-
сколькими таблицами дескрипторов, поскольку в системе имеется несколько регистров адресов таблиц (так, в процессоре Intel 80286 и последующих пре-
дусмотрены две таблицы, называемые локальной и глобальной). Решение,
использующее это свойство, заключается в том, что дескриптор разделяемого сегмента помещается в общую для всех процессов (глобальную) таблицу, та-
кой сегмент может быть доступным для всех процессов и имеет общий вир-
туальный номер для всех процессов. Другое решение, возможное и при нали-
чии только одной таблицы для каждого процесса, заключается в том, что для общего сегмента создается по записи в таблице каждого процесса, с ним ра-
ботающего, для каждого процесса этот сегмент имеет свой виртуальный но-
мер. Второе решение представляется более удачным с точки зрения защиты,
так как, во-первых, доступ к сегменту имеют только те процессы, в таблицах которых созданы соответствующие дескрипторы; во-вторых, есть возмож-
ность дать разным процессам разные права доступа к разделяемому сегмен-
ту. Но за такое решение приходится платить тем, что при свопинге разделяе-
мого сегмента и при учете его использования необходимо корректировать его дескрипторы в таблицах всех процессов.
Что касается стратегии подкачки, то все ОС применяют в сегментной модели «ленивую» политику: вытесненный сегмент подкачивается в реаль-
ную память только при обращении к нему. Некоторые системы (например, OS/2) позволяют управлять начальной подкачкой сегментов при запуске про-
95
цесса: сегмент может быть определен программистом как предварительно за-
гружаемый (preload) или загружаемый по вызову (load on call). Разработать неубыточную стратегию упреждающей (до обращения) подкачки сегментов при свопинге пока не представляется возможным из-за отсутствия надежных методов предсказания того, к какому сегменту будет обращение в ближай-
шем будущем.
В многосегментной модели процесс имеет возможность динамически изменять структуру своего виртуального адресного пространства. Для этих целей ему должен быть доступен минимальный набор системных вызовов,
приводимый ниже.
Получить сегмент:
seg = getSeg (segsize, access);
ОС выделяет новый сегмент заданного размера и с заданными правами доступа и возвращает процессу виртуальный номер выделенного сегмента.
Освободить сегмент: freeSeg(seg);
сегмент с заданным виртуальным номером становится недоступным для процесса.
Изменить размер сегмента: chSegSize(seg, newsize).
Изменить права доступа к сегменту: chSegAccess(seg, newaccess).
В конкретных системах этот минимальный набор может быть расширен дополнительным системным сервисом.
Системные вызовы, связанные с разделяемыми сегментами, мы рас-
смотрим в параграфе 12.7, посвященном взаимодействию между процессами.
Итак, процессор при помощи блока сегментации отображает логический адрес в линейное адресное пространство (рис. 36).
96
Рис. 36. Сегментированная мо-
дель
Еще раз о плюсах сегментированной модели памяти:
● Сегментация позволяет эффективно управлять пространством логиче-
ских адресов.
●Сегменты используются для объединения областей памяти с общими атрибутами.
●Каждый сегмент имеет несколько связанных с ним атрибутов: размер,
расположение, тип (стек, программа или данные) и характеристики защиты.
Защита памяти путем сегментации не позволяет:
использовать сегменты не по назначению (например, пы-
таться трактовать область данных как коды инструкций);
нарушать права доступа (пытаться модифицировать сег-
мент, предназначенный только для чтения, обращаться к сегменту,
не имея достаточных привилегий и т. п.);
адресоваться к элементам, выходящим за лимит сегмента;
изменять содержимое таблиц дескрипторов (т. е. парамет-
ров сегментов), не имея достаточных привилегий.
8.3. Модель режима реального адреса
Архитектура может использовать модель режима реального адреса
(Real-address Mode Model). Эта модель является специфическим случаем сег-
ментированной модели, в частности:
97
Линейное адресное пространство образуется из массива сег-
ментов длиной по 64 Кбайт.
Размер такого линейного адресного пространства – 1 Мбайт.
Вэтой модели (рис. 37) селектор сегмента непосредственно использует-
ся для вычисления базового адреса в линейном адресном пространстве путем сдвига значения селектора на 4 бита влево (умножение на 16). Это значит,
что все сегменты начинаются с адреса, кратного 16 (рис. 38).
Рис. 37. Модель режима реаль-
ного адреса
16-байтный блок памяти называют параграфом, поэтому говорят, что сегмент выравнивается по границе параграфа.
Рис. 38. Вычисление физического адреса в модели режима реального адреса
Так как размер сегмента намного превышает размер параграфа, то имеет место перекрытие сегментов, т. е. один и тот же байт линейного адресного
98
пространства может быть адресован различными логическими адресами
(используя селекторы разных сегментов).
9. Защищенный режим
Защищенный режим Protected Mode, точнее Protected Virtual Address Mode (защищенный режим виртуальной адресации), является основным
(наиболее естественным) режимом работы 32-разрядных процессоров. В этом режиме процессор позволяет адресовать до 64 Гбайт физической памяти, по-
средством которой при использовании механизма страничной адресации мо-
гут отображаться до 64 Тбайт виртуальной памяти каждой задачи. Режим виртуального процессора – Virtual Mode или V86 – является особым состоя-
нием задачи защищенного режима, в котором процессор функционирует с возможностью использования 32-разрядных адресов и операндов.
9.1. Основные понятия
Назначение защищенного режима
Защищенный режим предназначен для обеспечения независимости вы-
полнения нескольких задач, что подразумевает защиту ресурсов одной зада-
чи от возможного воздействия другой (под задачами подразумеваются как приложени, так и задачи операционной системы).
Что защищаем?
Основным защищаемым ресурсом является память, в которой хранятся коды, данные и различные системные таблицы (например, таблица прерыва-
ний). Защищать требуется и совместно используемую аппаратуру, обращение к которой обычно происходит через операции ввода-вывода и прерывания. В
защищенном режиме процессор аппаратно реализует многие функции защи-
ты, необходимые для построения супервизора многозадачной операционной системы, в том числе механизма виртуальной памяти.
На чем основана защита?
99
Защита памяти основана на сегментации. Сегмент – это блок простран-
ства памяти определенного назначения. К элементам сегмента возможно об-
ращение с помощью различных инструкций процессора, использующих раз-
ные режимы адресации для формирования адреса в пределах сегмента.
Как работать в защищенном режиме?
В защищенном режиме сегменты тоже распределяются операционной системой, но прикладная программа может использовать только разрешен-
ные для нее сегменты памяти, выбирая их с помощью селекторов из предва-
рительно сформированных таблиц дескрипторов сегментов.
Процессор может обращаться только к тем сегментам памяти, для кото-
рых имеются дескрипторы в таблицах. Механизм сегментации формирует линейный адрес по схеме, приведенной на рис. 39 (слева). Дескрипторы вы-
бираются с помощью 16-битных селекторов, программно загружаемых в сег-
ментные регистры; формат селекторов приведен на рис. 38 (справа вверху).
Индекс совместно с индикатором таблицы TI позволяет выбрать дескриптор из локальной (TI = 1) или глобальной (TI = 0) таблицы дескрипторов. Для не-
используемых сегментных регистров предназначен нулевой селектор сег-
мента, формально адресующийся к самому первому элементу глобальной таблицы. Попытка обращения к памяти по такому сегментному регистру вы-
зовет исключение. Исключение возникает и при попытке загрузки нулевого селектора в регистр CS или SS. Поле RPL указывает требуемый уровень при-
вилегий.
Формат селектора
100