虚拟内存、虚拟机器与安全保护

1. 通过虚拟内存保护
   
   1. 基于页的虚拟内存，包括用来缓存页表条目的快表，是保护各个进程的基本机制。
   2. 多道程序设计，即多个程序在同一台电脑中并发运行，导致产生了保护的需求、在程序中共享数据的需求和进程概念的提出。
   3. 操作系统与体系结构团结协作允许多个进程共享硬件而不互相干扰。为了实现这个，体系结构必须限制一个用户进程可以访问什么资源，通常允许操作系统进程可以有更大的访问权限。体系结构必须完成以下工作：
      
      1. 提供两种模式，表明正在运行的进程是用户进程还是操作系统进程，通常操作系统进程被称为内核进程。
      2. 提供一部分处理器状态，用户进程可以读但不能写。这些状态包括内核/用户态位、异常允许/不允许位和内存保护信息。用户不能写这些状态因为如过用户给他们自己特权、关闭异常或者改写内存保护信息，操作系统将不能控制他们。
      3. 提供处理器从用户模式进入特权模式的机制，反之亦然。从用户模式进入特权模式典型地方式是系统调用。
      4. 提供一种机制限制内存访问，在一个上下文切换中保护进程的内存状态当没有发生页面置换时(交换进程到物理磁盘)。
   4. 到目前为止，最受欢迎的保护模式是添加保护限制到虚拟内存的每一页上。保护限制被加在每个页表条目上，决定用户进程是否可以读该页、写该页、从该页执行。由于仅仅操作系统可以更新页表，所以分页机制提供了完整的访问保护。
2. 通过虚拟机器保护