分級保護域
維基百科,自由的 encyclopedia
在計算機科學中, 分級保護域(英語:hierarchical protection domains),[1][2],經常被叫作保護環(Protection Rings),又稱環型保護(Rings Protection)、CPU環(CPU Rings),簡稱Rings。這是一種用來在發生故障時保護數據和功能,提升容錯度,避免惡意操作 ,提升計算機安全的設計方式。這是一種與基於能力的安全(英語:capability-based security)完全相反的方式。[來源請求]
電腦作業系統提供不同的資源訪問級別。在計算機體系結構中,Rings是由兩個或更多的特權態組成。在一些硬體或者微代碼級別上提供不同特權態模式的CPU架構上,保護環通常都是硬體強制的。Rings是從最高特權級(通常被叫作0級)到最低特權級(通常對應最大的數字)排列的。在大多數作業系統中,Ring 0擁有最高特權,並且可以和最多的硬體直接交互(比如CPU,內存)。
Rings之間的特殊門是被提供用來允許外層Ring在預定義的方式內訪問內層Ring的資源用的,內層Ring可以隨便使用外層Ring的資源。正確使用Rings間的門可以阻止某個Ring或者特權級的程序故意濫用其他程序的資源,提升安全性。例如,某個間諜軟體作為一個在Ring 3運行的用戶程序,它在不通知用戶的時候打開攝像頭應該會被阻止,因為訪問硬體需要使用被驅動程序保留的Ring 1的方法。瀏覽器一類在高Ring級別運行的程序必須請求權限才能訪問網絡,也就是受低Ring級別限制的資源。