一.保护方式简介

80386有三种工作方式:实模式,保护模式和虚拟8086模式。本文介绍保护方式下的80386及相关的程序设计 内容。实模式下的80386寄存器，寻址方式和指令等基本概念，除特别说明外在保护方式下仍然保持。

尽管实方式下80386的功能要大大超过其先前的处理器(8086/8088,80186,80286)，但只有在保护方式下， 80386才能真正发挥更大的作用。在保护方式下，全部32条地址线有效，可寻址高达4G字节的物理地址空 间;扩充的存储器分段管理机制和可选的存储器分页管理机制，不仅为存储器共享和保护提供了硬件支持 ，而且为实现虚拟存储器提供了硬件支持;支持多任务，能够快速地进行任务切换和保护任务环境;4个特 权级和完善的特权检查机制，既能实现资源共享又能保证代码和数据的安全和保密及任务的隔离;支持虚 拟8086方式，便于执行8086程序。

80386有32根地址线，在保护方式下，它们都能发挥作用，所以可寻址的物理地址空间高达4G字节。在 以80386及其以上处理器为CPU的PC兼容机系统中，把地址在1M以下的内存称为常规内存，把地址在1M 以上的内存称为扩展内存。

80386还要对实现虚拟存储器提供支持。虽然与8086可寻址的1M字节物理地址空间相比，80386可寻址的 物理地址空间可谓很大，但实际的微机系统不可能安装如此达的物理内存。所以，为了运行大型程序和 真正实现多任务，必须采用虚拟存储器。虚拟存储器是一种软硬件结合的技术，用于提供比在计算机系 统中实际可以使用的物理主存储器大得多的存储空间。这样，程序员在编写程序时不用考虑计算机中物 理存储器的实际容量。

80386还要对存放在存储器中的代码及数据的共享和保护提供支持。任务甲和任务乙并存，任务甲和任务 乙必须隔离，以免相互影响。但它们又可能要共享部分代码和数据。所以，80386既要支持任务隔离，又 要支持可共享代码和数据的共享，还要支持特权保护。

保护方式下的虚拟存储器由大小可变的存储块构成，这样的存储块称为段。80386采用称为描述符的数据 来描述段的位置、大小和使用情况。虚拟存储器的地址(逻辑地址)由指示描述符的选择子和段内偏移两部 分构成，这样的地址集合称为虚拟地址空间。80386支持的虚拟地址空间可达64T字节。程序员编写程序时 使用的存储地址空间是虚拟地址空间，所以，他们可认为有足够大的存储空间可供使用。

显然，只有在物理存储器中的程序才能运行，只有在物理存储器中的数据才能访问。因此，虚拟地址空间 必须映射到物理地址空间，二维的虚拟地址必须转化成一维的物理地址。由于物理地址空间远小于虚拟地 址空间，所以只有虚拟地址空间中的部分可以映射到物理地址空间。由于物理存储器的大小要远小于物理 地址空间，所以只有上述部分中的部分才能真正映射到物理存储器。

每一个任务有一个虚拟地址空间。为了避免多个并行任务的多个虚拟地址空间直接映射到同一个物理地址 空间，采用线性地址空间隔离虚拟地址空间和物理地址空间。线性地址空间由一维的线性地址构成，线性 地址空间和物理地址空间对等。线性地址32位长，线性地址空间容量为4G字节。

80386分两步实现虚拟地址空间到物理地址空间到物理地址空间的映射，也就是分两步实现虚拟地址到物 理地址的转换，但第二步是可选的。下图是地址映射转换的示意图。

通过描述符表和描述符，分段管理机制实现虚拟地址空间到线性地址空间的映射，实现把二维的虚拟地 址转换为一维的线性地址。这一步总是存在的。

分页管理机制把线性地址空间和物理地址空间分别划分为大小相同的块，这样的块称为页。通过在线性地 址空间的页与物理地址空间的页建立之间建立的映射表，分页管理机制实现线性地址空间到物理地址空间 的映射，实现线性地址到物理地址的转换。分页管理机制是可选的，在不采用分页管理机制时，线性地址 空间就等同于物理地址空间，线性地址就等于物理地址。

分段管理机制所使用的可变大小的块，时分段管理机制比较适宜处理复杂系统的逻辑分段。存储块的大小 可以根据适当的逻辑含义进行定义，而不用考虑固定大小的页所强加的人为限制。每个段可作为独立的单 位处理，以简化段的保护及共享。分页机制使用的固定大小的块最适合于管理物理存储器，无论是管理内 存还是外存都同样有效。分页管理机制能够有效地支持实现虚拟存储器。

段及分页这两种机制是两种不同的转换机制，是整个地址转换函数的不同的转换级。虽然两种机制都利用 存储在主存储器中的转换表，但这些表具有独立的结构。事实上，段表存储在线性地址空间，而页表存储 在物理地址空间。因此，段转换表可由分页机制重新进行定位而不需段机制的参与。段转换机制把虚拟地 址转换为线性地址，并在线性地址中访问段转换机制的表格，而不会觉察分页机制已把线性地址转换为物 理地址。类似地，分页机制对于程序产生的地址所使用的虚拟地址空间一无所知。分页机制只是直接地把 线性地址转换为物理地址，并且在物理地址中访问转换表格，并不知道虚拟地址空间的存在，甚至不知道 段转换机制的存在。

虚拟存储器是一种设计技术，用于提供比在计算机系统中实际可以使用的物理主存储器大得多的存储空 间。使用者会产生一种错觉，好象在程序中可以使用非常大的物理存储空间。使用虚拟存储器的好处是： 一个程序可以很容易地在物理存储器容量大不一样的、配置范围很广的计算机上运行；编程人员使用虚拟 存储器可以写出比任何实际配置的物理存储器都大得多的程序。虚拟存储器由存储管理机制及一个大容量 的快速硬盘存储器支持。在程序运行的任何时刻，只把虚拟地址空间的一小部分映射到主存储器，其余部 分则存储在磁盘上。因为只有存储在主存储器中的部分虚拟存储器可由处理器使用，这种虚拟存储技术将 依赖程序内部访问存储器的局部化特性，在程序执行中只需整个虚拟存储器中的少量存储内容在主存储器 中驻留。而当访问存储器的范围发生变化时，有必要把虚拟存储器的某些部分从磁盘调入主存储器，虚拟 存储器的另外的部分，也能从主存储器传送回磁盘上。

地址转换机制以两种方式支持虚拟存储器。

第一，把实际驻留在主存储器中的那部分虚拟存储器标记为无效，并建立起虚拟存储器驻留部分的虚拟-- 物理映射关系，把驻留部分的相应虚拟存储器地址，转换为对应物理存储器的地址。如果程序访问的虚拟 地址对应于虚拟存储器未驻留的部分，将由于无效映射信息而引起异常。操作系统通过把未驻留部分从磁 盘上读入到主存储器中，来处理这种异常，并根据需要更新地址转换表。在引起异常的原因排除以后，异 常处理程序完成异常事件的处理，并返回原来的程序恢复执行。在后面的文章中将会看到，从异常处理程 序返回后，这时要重新执行一次原来引起异常的指令，而该指令在后一次执行时自然会成功地完成。

第二，地址转换机制通过收集驻留在主存储器中的虚拟存储器部分的使用统计信息来支持虚拟存储器，这 些使用统计信息，在主存储器空间紧缺时，帮助操作系统决定可以将哪些部分传送回磁盘。

保护的一个重要方面是应用程序之间的保护。通过把每个任务放置在不同的虚拟地址空间的方法来实现任 务与任务的隔离，达到应用程序之间保护的目的。虚拟地址到物理地址的映射函数在每个任务中进行定 义，随着任务切换，映射函数也切换。任务A的虚拟地址空间映射到物理地址空间的某个区域，而任务B的 虚拟地址空间映射到物理地址空间的另外区域，彼此独立，互不相干。因此，两个不同的任务，尽管虚拟 存储单元地址相同，但实际的物理存储单元地址可以不同。

每个任务各有一组独立的映射表，即具有不同的地址转换函数。在80386上，每个任务都有自己的段表及 页表。当处理器进行切换并执行新的任务时，这种任务切换的一个重要部分，就是为新任务切换任务的转 换表。为了使操作系统与所有的应用程序相隔离，可以把操作系统存储在一个单一的任务中。然而，我们 即将看到，在一个任务内操作的保护机制，更适合于保护操作系统，使其不被应用程序破坏。这种机制， 使操作系统由所有任务共享，并且可在每一任务中对其进行访问，而且仍然保护了操作系统，使其不被应 用程序破坏。这种保护操作系统的方法，是把操作系统存储在虚拟地址空间的一个公共区域，然后，再使 每一任务按此区域分配一个同样的虚拟地址空间，并进行同样的虚拟--物理地址映射。各个任务公用的这 部分虚拟地址空间，被称为全局地址空间。

仅由一个任务占有的虚拟地址空间部分，即不被任何其它任务共享的虚拟地址部分，称为局部地址空间。 局部地址空间包含的代码和数据，是任务私有的，需要与系统中的其它任务相隔离。

再每个任务中有不同的局部地址空间。因此，两个不同的任务中，对同一虚拟地址的访问，实际上转换为 不同的物理地址。这就使操作系统对每个任务的存储器，可以赋予相同的虚拟地址，仍然保证任务的隔 离。另一方面，对全局地址空间中同一虚拟地址的访问，在所有任务中都转换为同样的物理地址，从而支 持公共的代码及数据的共享，例如对操作系统的共享。

在一个任务之内，定义有四种执行特权级别，用于限制对任务中的段进行访问。按照包含在段中的数据的 重要性和代码的可信程度，给段指定特权级别。把最高的特权级别分配给最重要的数据段和最可信任的代 码段。具有最高特权级别的数据，只能由最可信任的代码访问。给不重要的数据段和一般代码段分配较低 的特权级别。具有最低特权级别的数据，可被具有任何特权级别的代码访问。

特权级别用数字0、1、2和3表示，数字0表示最高特权级别，而数字3表示最低特权级别，即数字较大的级 别具有较低的特权。为了避免模糊和混淆，在比较特权级别时，不使用“大于”或“小于”这样的术语， 而使用“里面”或“内层”这样的术语表示较高特权级，级别的数字较小；使用“外面”或“外层”这样 的术语表示较低特权级别，级别的数字较大。0级为最内层的特权级别，3级为最外层的特权级别，按这样 的表示方法，四种特权级的层次关系如下图(图中右边的数字为特权级)所示。

每一特权级都有各自独立的程序堆栈，以避免与共享栈区有关的保护问题。当一个程序从一个特权级切换 到另一个特权级执行时，程序使用的堆栈，从原特权级的栈段改变为新特权级的栈段。对于堆栈段寄存器 SS来说，描述符特权级(DPL)必须等于当前代码段的特权级(CPL)。从一个特权级切换到另一特权级的方法 将在控制转移方法一文中描述。

每个存储器段都与一个特权级别相联系。特权级别限制是指，只有足够级别的程序，才可对相应的段进行 访问。在任何时候，一个任务总是在四个特权级之一下运行，任务在特定时刻的特权级称为当前特权级 (Current Privilege level)，标记为CPL，即当前运行程序的特权级。每当一个程序试图访问一个段时， 就把CPL与要访问的段的特权级进行比较，以决定是否允许这一访问。对给定CPL执行的程序，允许访问同 一级别或外层级别的数据段。如上图所示，CodeK可访问同级的数据段DataK，也可访问外层的DataOS、 DataAP1及DataAP2等。如果试图访问内层级别的数据段则是非法的，并引起异常。如上图所示，CodeOS可 访问同级的DataOS，也可访问外层的DataAP1和DataAP2等，但不能访问内层的DataK。

虽然应用程序都在最外层，但由于各个不同的应用程序存储在不同的虚拟地址空间中，所以各应用程序被 隔离保护。如上图所示，最外层的CodeAP1只能访问DataAP1，不可能访问同级的另一应用程序的DataAP2； 同样，CodeAP2只能访问DataAP2，不可能访问DataAP1。

这实际上是组合保护。应用程序1和操作系统构成任务A，应用程序2和操作系统构成任务B。操作系统被任 务A和任务B共享，在任务A和任务B的两个不同的虚拟地址空间中，操作系统占用虚拟地址空间相同的部分。

特权级的典型用法是，把操作系统的核心部分放在0级，操作系统的其余部分放在1级，而应用程序放在3 级，留下的2级供中间软件使用。对特权级进行这样的安排，使得在0级的操作系统核心有权访问任务中的 所有存储段；而在3级的应用程序只能访问程序本身的存储段，这些存储段也是在3级(注意，Windows 9X 操作系统只使用了0级和3级，以便于移植到精简指令集的计算机上，如RS4000等，这些处理器一般只有两 个特权级，即系统级和用户级)。