2-保护模式-2.3

合集下载

低压配电系统电涌保护器(SPD)保护模式简介

低压配电系统电涌保护器（SPD）保护模式简介一、电涌保护器（SPD）用以限制瞬时过电压和泄放电涌电流的电器，它至少应包括一种非线性元件。

在一般平时的项目中也称“电涌保护器”、“浪涌保护器”、“浪涌防护器”、“防雷器”、“避雷器”等。

二、电涌保护器（SPD）保护模式的概念根据《低压配电设计规范》（GB50054-95）规定，低压配电供电系统的接地型式可分为：TN-S系统（三相五线）、TN-C系统（三相四线）、TN-C-S 系统（由三相四线改为三相五线）、IT系统（三相三线）和TT系统（三相四线，电源有一点与地直接连接，负荷侧电气装置外露可导电部分连接的接地极与电源接地极无电气联系）。

电涌保护器（SPD）可连接在L（相线/火线）、N（中性线/零线）、PE （保护线/地线）间，如L-L、L-N、L-PE、N-PE，这些连接方式称为保护模式。

SPD的保护模式与供电系统的接地型式有关，目前，低压配电供电系统通常有3种SPD保护模式：共模保护模式、“3+1”保护模式、全保护模式，其中前两种保护模式较为常用。

三相星形接地中的保护方式三、电涌保护器（SPD）共模保护模式（L-PE，N-PE）共模保护模式是将电源L（相线）、N（中性线）分别与PE（保护地）线之间安装相同型号的SPD模块，把雷电（或感应电）能量泄放到地，限制对地瞬态过电压的幅值，以防护设备对地的绝缘。

共模模式的电涌保护器（SPD）对共模（MC）过电压可进行有效防护，即带电导体（L或N）与保护接地（PE）之间的过电压。

对带电导体之间产生的差模过电压未进行防护，如L-L之间，L-N之间的过电压。

四、电涌保护器（SPD）“3+1” 保护模式（L-N，N-PE）在某些供电系统下，共模保护的电涌保护器（SPD）有可能使SPD的电压保护水平失真，即产品的实际保护水平比产品说明上的保护水平要差。

如在TT 接地系统：GB50057-94（2000版）标准规定，L-N接三片抑制模块，能有效的拦截相线浪涌电压，当雷电浪涌使SPD导通放电时，巨大的涌流瞬间流向N线，使N线电位上升，所以必须给N线提供一个放电电流通道。

同方易教操作指南

同方易教增量版使用指南同方股份有限公司thtfpc前言◎欢迎使用同方易教增量版◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆※本手册所有的产品商标与产品名称均属于同方股份有限公司。

※本手册所有图形仅供参考，请您以实际软件界面为准。

※请您在做安装、移除、修改同方易教增量版操作时，备份好您的硬盘数据，如果数据丢失，本公司不予找回。

※软件版本如有变更恕不另行通知。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆同方易教增量版广泛应用于学校机房或网吧等局域网环境，成为广大机房管理者的得力助手。

它以方便、安全的优势备受系统管理者的青睐。

目录1.产品介绍 (1)1.1产品说明 (1)1.2功能简介 (1)1.3最低硬件配置 (2)1.4支持的操作系统 (2)1.5支持的文件系统 (3)2.快速开始指南 (4)2.1安装同方易教增量版 (4)2.2安装流程图 (5)2.2.1 安装发送端流程图 (5)2.2.2 网络克隆接收端流程图 (6)2.3安装发送端（以﹤全新安装﹥为例） (7)2.3.1 选择安装方式——全新安装 (7)2.3.2 安装操作系统及应用软件 (9)2.3.3 安装同方易教增量版操作系统驱动 (10)2.3.4 安装完成 (11)2.3.5 设置发送端网络拷贝信息 (11)2.4网络克隆接收端 (12)2.4.1 网络安装接收端底层驱动 (12)2.4.2 配置接收端信息（IP地址/计算机名） .. 152.4.3 传送操作系统数据 (17)3.增量拷贝—安装、卸载软件，修改系统设置 (20)3.1增量拷贝的流程图 (20)3.2实现增量拷贝的前提条件 (21)3.3增量拷贝全过程 (21)3.3.1 准备增量数据 (21)3.3.2 执行增量拷贝 (22)3.4增量拷贝破坏后的修复 (26)4.已经安装好操作系统后安装同方易教增量版 (27)4.1安装同方易教增量版 (27)4.2选择安装方式 (27)4.2.1 简易安装和保留安装 (27)4.2.2 安装操作系统 (29)4.2.3 安装同方易教增量版系统驱动 (30)4.3网络克隆接收端 (30)5.高级使用指南 (31)5.1安装多操作系统 (31)5.1.1 安装同方易教增量版 (31)5.1.2 选择安装方式（全新安装） (31)5.1.3 用同方易教增量版划分硬盘分区 (32)5.1.4 安装操作系统及应用软件 (33)5.1.5 安装同方易教增量版操作系统驱动 (33)5.1.6 网络拷贝、自动修改IP (33)5.2网络工具 (33)5.2.1 网络升级 (35)5.2.2 传输参数 (35)5.2.3 传输CMOS (35)5.2.4 时钟同步 (35)5.2.5 网络测试 (36)5.3断点续传 (36)5.3.1 断点续传可以应用以下场景 (36)5.3.2 断点续传的使用 (36)5.4网络参数调节 (38)6.管理功能设置指南 (40)6.1系统模式 (40)6.1.1 总管模式 (40)6.1.2 保护模式 (40)6.2还原/备份/保留/增量回退 (41)6.2.1 还原 (42)6.2.2 备份---也称永久写入 (42)6.2.3 暂时保留 (42)6.3系统管理 (43)6.3.1 开机设定 (43)6.3.2 待机设置 (44)6.3.3 分区信息 (45)6.3.4 CMOS保护设置与IO设置 (49)6.3.4.1操作系统下的IO设置 (50)6.4网络拷贝设置 (50)6.4.1 网络拷贝模式 (51)6.4.2 接收端开机自动连线 (52)6.4.3 启用DHCP服务 (52)6.5增量设置 (52)6.5.1 操作系统增量拷贝状态 (53)6.5.2 具体增量拷贝步骤 (53)6.6工具箱 (54)6.6.1 特殊设置 (54)6.6.1.1驱动设置 (55)6.6.1.2特殊参数设置 (55)6.6.2 硬盘复制 (55)6.7系统卸载与升级 (56)6.7.1 升级 (56)6.7.2 卸载 (56)6.8保存退出 (57)7.附录一常见问题解答 (58)1.产品介绍1.1 产品说明同方易教增量版是针对计算机机房从集中部署到便捷、灵活、快速维护的新一代产品。

x86汇编语言：从实模式到保护模式(第2版)

16.1 任务的隔离和特权级保护 16.2 代码清单16-1 16.3 内核程序的初始化 16.4 加载用户程序并创建任务 16.5 用户程序的执行本章习题
17.1 本章代码清单 17.2 任务切换前的设置 17.3 任务切换的方法 17.4 用jmp指令发起任务切换的实例 17.5 处理器在实施任务切换时的操作 17.6 程序的编译和运行本章习题
第9章硬盘和显卡的访问与控制
5.1 计算机的启动过程 5.2 创建和使用虚拟机
6.1 本章代码清单 6.2 欢迎来到主引导扇区 6.3 注释 6.4 在屏幕上显示文字 6.5 显示标号的汇编地址 6.6 使程序进入无限循环状态 6.7 完成并编译主引导扇区代码 6.8 加载和运行主引导扇区代码 6.9 程序的调试技术
7.1 代码清单7-1 7.2 跳过非指令的数据区 7.3 在数据声明中使用字面值 7.4 段地址的初始化 7.5 段之间的批量数据传送 7.6 使用循环分解数位 7.7 计算机中的负数 7.8 数位的显示 7.9 其他标志位和条件转移指令
8.1 从1加到100的故事 8.2 代码清单8-1 8.3 显示字符串 8.4 计算1到100的累加和 8.5 累加和各个数位的分解与显示 8.6 程序的编译和运行 8.7 8086处理器的寻址方式本章习题
3.1 寄存器和字长 3.2 内存访问和字节序 3.3 古老的INTEL 8086处理器本章习题
4.1 汇编语言程序 4.2 NASM编译器 4.3 配书文件包的下载和使用本章习题
第6章编写主引导扇区代码
第5章虚拟机的安装和使用
第7章相同的功能，不同的代码
第8章比高斯更快的计算
精彩摘录
这是《x86汇编语言：从实模式到保护模式（第2版）》的读书笔记模板，可以替换为自己的精彩内容摘录。

信息系统安全保护等级基本要求(S2A3G3)

信息系统安全等级保护基本要求1 范围本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导分等级的信息系统的安全建设和监督管理。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。

3.1安全保护能力 security protection ability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

4 信息系统安全等级保护概述4.1 信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA-AAAA。

4.2 不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

ip5k2标准

IP5K2标准详解一、引言随着科技的不断发展，网络安全问题日益严重，对于网络设备的安全性能要求也越来越高。

为了保障网络设备的安全性能，国际电工委员会（IEC）制定了一系列网络安全评估标准，其中IP5K2标准是一种针对网络设备的安全评估标准。

本文档将对IP5K2标准进行详细的介绍，包括其背景、目的、测试范围、测试方法等内容。

二、IP5K2标准背景IP5K2（Intrusion Protective Performance of Network Security Equipment - Part 2: Test Methodology）是由国际电工委员会（IEC）制定的网络安全评估标准之一。

该标准的前身是IP代码（Intrusion Protective），最早于1999年发布。

IP代码主要用于评估网络设备（如防火墙、入侵检测系统等）的防护性能。

随着网络安全威胁的不断演变，IP代码逐渐暴露出一些问题，如测试方法不够完善、测试范围不够广泛等。

因此，IEC在2014年对IP代码进行了修订，发布了IP5K2标准。

三、IP5K2标准目的IP5K2标准的目的是为了评估网络设备在面对各种安全威胁时，其防护性能是否达到预期的要求。

通过实施IP5K2测试，可以帮助用户了解网络设备的安全性能，为选择和使用网络设备提供参考依据。

同时，IP5K2测试也可以促使网络设备厂商不断提高产品的安全性能，以满足市场的需求。

四、IP5K2测试范围IP5K2测试主要针对网络设备的安全功能进行评估，包括但不限于以下方面：1. 防火墙功能：评估防火墙对网络流量的控制能力，包括访问控制、流量过滤等功能。

2. 入侵检测和防御功能：评估入侵检测系统（IDS）和入侵防御系统（IPS）对网络攻击的检测和防御能力。

3. VPN功能：评估虚拟专用网络（VPN）对数据加密和传输的安全性能。

4. 内容过滤功能：评估内容过滤系统对恶意内容的识别和过滤能力。

5. 抗DDoS攻击功能：评估网络设备对分布式拒绝服务（DDoS）攻击的防护能力。

等级保护2.0标准解读

等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准（以下简称DP-2.0）是指文档等级保护的新一代标准。

该标准在信息安全领域有着重要的作用，对于保护敏感信息、提高数据安全性具有重要意义。

本文将对DP-2.0标准进行详细解读。

2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用，数据安全问题也日益突出。

为了保护信息安全，各类组织纷纷提出了不同的标准和措施。

DP-2.0标准作为新一代的等级保护标准，在防范各类信息安全威胁方面有着显著的优势。

3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容：3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分，分为一级、二级、三级三个等级。

不同等级对应不同的安全需求和保护措施，以确保数据的安全性。

3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求，包括对密码、身份认证、访问控制等方面的保护措施，以防止关键要素的泄露和滥用。

3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制，及时发现和应对安全事件，保障信息系统的日常运行安全。

3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性，要求定期进行安全培训，加强员工对信息安全的意识，提高整体的安全防护能力。

4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统，包括企事业单位、政府机关等。

通过遵循DP-2.0标准，组织可以更加全面地保护敏感信息，提高数据安全性，有效应对信息安全威胁。

5. DP-2.0标准的优势相较于以往的等级保护标准，DP-2.0标准具有以下优势：- 标准要求更加明确，有利于各类组织的实施和操作。

- 标准细化了关键要素的保护要求，对信息系统的安全性提出了更高的要求。

- 标准强调安全培训与管理的重要性，提高了组织的整体安全水平。

6. 结论DP-2.0标准作为新一代的等级保护标准，具有重要的意义。

通过遵循DP-2.0标准，组织可以更好地保护敏感信息，提高数据安全性，并有效地应对信息安全威胁。

保护模式详解

保护模式详解在ia32下，cpu有两种⼯作模式：实模式和保护模式。

在实模式下，16位的寄存器⽤“段+偏移”的⽅法计算有效地址。

段寄存器始终是16位的。

在实模式下，段值xxxxh表⽰的以xxxx0h开始的⼀段内存。

但在保护模式下，段寄存器的值变成了⼀个索引（还有附加信息）这个索引指向了⼀个数据结构的表（gdt/ldt）项,表项（描述符）中详细定义了段的其实地址、界限、属性等内容。

保护模式需要理解：描述符，选择⼦描述符包括，存储段描述符（代码段，数据段，堆栈段），系统描述符（任务状态段TSS，局部描述符表LDT），门描述符（调⽤门，任务门，中断门，陷阱门），下⾯以存储段描述符位例我们看⼀下描述符的结构：描述符共8个字节：0,1字节是段界限（2字节）2,3,4字节是段基址的低24位（3字节）5,6字节是段基址的属性（2字节）7字节是段机制的⾼8位（1字节）属性：(1) P:存在(Present)位。

P=1 表⽰描述符对地址转换是有效的，或者说该描述符所描述的段存在，即在内存中；P=0 表⽰描述符对地址转换⽆效，即该段不存在。

使⽤该描述符进⾏内存访问时会引起异常。

(2) DPL: 表⽰描述符特权级(Descriptor Privilege level)，共2位。

它规定了所描述段的特权级，⽤于特权检查，以决定对该段能否访问。

(3) DT:说明描述符的类型。

对于存储段描述符⽽⾔，DT=1，以区别与系统段描述符和门描述符(DT=0)。

(4) TYPE: 说明存储段描述符所描述的存储段的具体属性。

数据段类型类型值说明----------------------------------0只读1只读、已访问2读/写3读/写、已访问4只读、向下扩展5只读、向下扩展、已访问6读/写、向下扩展7读/写、向下扩展、已访问选择⼦的结构：RPL(Requested Privilege Level): 请求特权级，⽤于特权检查。

发电机保护DSA2380

发电机保护DSA2380[正文]【章节一、引言】1.1 文档目的本文档旨在提供关于发电机保护DSA2380的详细说明，包括其功能、特点、安装要求和操作指南等内容，以便用户能够正确使用和维护该设备。

1.2 文档范围本文档适用于所有使用发电机保护DSA2380的人员，包括设备用户、维护人员以及技术支持人员等。

【章节二、产品概述】2.1 产品介绍发电机保护DSA2380是一种专门设计用于发电机保护的设备。

该设备采用先进的技术和算法，能够准确地检测和保护发电机免受各种故障和异常情况的影响。

2.2 主要功能发电机保护DSA2380具有以下主要功能：- 过电流保护：监测发电机电流，并在超过设定值时进行保护动作；- 过电压保护：监测发电机电压，并在超过设定值时进行保护动作；- 欠电压保护：监测发电机电压，并在低于设定值时进行保护动作；- 欠频保护：监测发电机频率，并在低于设定值时进行保护动作；- 过频保护：监测发电机频率，并在超过设定值时进行保护动作；- 震动保护：监测发电机震动水平，并在超过设定值时进行保护动作；- 温度保护：监测发电机温度，并在超过设定值时进行保护动作。

【章节三、安装要求】3.1 环境要求- 温度范围：-10℃至50℃；- 相对湿度：不大于90%（无凝结）；- 海拔高度：不超过2000m；- 震动：不大于0.5g。

3.2 电气要求- 输入电压.220VAC；- 输入频率.50Hz；- 额定电流.10A。

3.3 安装步骤1、确保发电机停止供电并断开电源；2、将发电机保护DSA2380正确安装在发电机控制箱内；3、连接电源和信号线，确保接线正确无误；4、检查所有连接是否牢固可靠；5、重新连接电源，启动发电机，进行必要的设置和测试。

【章节四、操作指南】4.1 开机与关机- 开机：按下启动按钮，等待设备自检完成后即可开始使用。

- 关机：按下停止按钮，等待设备停止运行后，断开电源。

4.2 参数设置发电机保护DSA2380支持用户自定义参数设定，包括过电流保护值、过电压保护值、欠电压保护值等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

微机接口技术
微机接口技术
第二模块保护模式
微机接口技术
任务
多任务环境，是指其硬件允许软件系统中存在多个任务，并能够以分时的方式使各程序轮流执行。当运行一个应用程序后，操作系统就为这个程序创建一个任务。
微机接口技术
任务寄存器(TR)
• 在保护模式下，在任何时刻都有一个当前任务，当前任务由TR寄存器指定，CPU在这个任务的环境下执行。因此，系统中至少存在一个任务。 • TR为16位选择符,选中TSS描述符.
微机接口技术
Privilege – check
16-bit visible selector CS Target Segment Selector INDEX RPL Invisible Descriptor CPL
Privilege check by CPU
Data Segment Descriptor
微机接口技术
由任务寄存器TR取得TSS的过程
Physical Memory ③ TR 16 15 0 LIMIT ⑤ TSS TSS descriptor GDT ①② 47 BASE
④
①和②步由GDTR确定了GDT表在存储器中的位臵和限长。TR是一个选择符，这个选择符中包含了 TSS描述符在GDT中的索引。③步依据TR在GDT中取
出TSS描述符。在第④和⑤步中，在TSS描述符中取
得TSS的基址和限长。
微机接口技术
任务执行环境
每个任务都由两个部分组成：任务执行环境TES（Task Executation Space）和任务状态段TSS（Task State Segment）。任务执行环境包括一个代码段、堆栈段和数据段等，任务在每一个特权级上执行时都有一个堆栈段。图2-26
微机接口技术
特权级检查
• JMP指令
满足以下两个条件时，才允许使用调用门：（1） DPLGATE≥MAX（CPL, RPL）（2） CCODE为1且DPLCODE≤CPL 或 CCODE为0且DPLCODE＝CPL 如果CCODE为1，则当前特权级不变；如果CCODE为0，则当前特权级也不变（DPLCODE＝CPL）。结论：JMP指令使用调用门不能提升特权级。
微机接口技术
任务门
• 任务门指示任务。任务门内的选择子必须指示GDT中的任务状态段TSS描述符，门中的偏移无意义。任务的入口点保存在TSS中。 • 段间转移指令JMP和段间调用指令CALL，通过任务门可实现任务切换。
微机接口技术
调用门
• 调用门描述某个子程序的入口。调用门内的选择子必须实现代码段描述符，调用门内的偏移是对应代码段内的偏移。 • 利用段间调用指令CALL，通过调用门可实现任务内从外层特权级变换到内层特权级。
微机接口技术
Restricting Control Transfers
16-bit visible selector CS Invisible Descriptor CPL
Privilege check by CPU
16 15 P 8 7 BASE 23..16 0 4
Code Segment Descriptor
– CPL = DPL (在同一优先级内转移) – or CPL >= DPL if the selected code segment is confirming segment (在低优先级中执行高优先级代码, 段描述符中的C位必须为1)
Conforming Code segments are accessible by privilege levels which are the same or less privileged than the conformingcode segment's DPL.
基于段的内存保护
访问内存时的检查 • 1）操作数的偏移量是否超出段的边界 • 2）操作是否与段的保护属性匹配
微机接口技术
基于段的内存保护
Memory Selector Offset Limit
Type and limit check
Data
Base Access rights
Selector
Limit
微机接口技术
任务状态段
TSS中保存了任务的各种状态信息。任务状态段描述符（即TSS描述符）描述某个任务状态段，规定了任务状态段的基地址和任务状态段的大小等信息。 TSS存放在GDT中。描述符格式如图2-27，2-28。
微机接口技术
TSS基本格式
微机接口技术
门描述符
• 门描述符并不描述某种内存段，而是描述控制转移的入口点。这种描述符好比一个同向另一代码段的门。通过这种门，可实现任务内特权级的变换和任务间的切换。所以，这种门描述符也称为控制门。
Privilege Check for Control Transfer with Call Gate
微机接口技术
微机接口技术
特权级检查
• CALL指令
满足以下两个条件时，才允许使用调用门：（1） DPLGATE≥MAX（CPL, RPL）（2） DPLCODE≤CPL 如果CCODE为1，则当前特权级不变；如果CCODE为0，则当前特权级提升为DPLCODE （DPLCODE＜CPL）或者维持不变（DPLCODE＝CPL）。 DPLCODE≤CPL的条件是防止执行调用门后，当前特权级降低。接任务切换段间跳转指令JMP X:Y或段间调用指令 CALL X:Y可以用来执行任务切换。在中断/ 异常或者执行IRET指令时也可能发生任务切换。
门描述符与段选择符关系
IDT IDTR
GDT/LDT
基地址
代码段
门描述符
选择符属性偏移
段描述符
基地址属性边界
微机接口技术
为段寄存器赋值时的检查(续)
• 3）依据CPL、DPL、RPL来判断特权级是否满足要求：DPL ≥ MAX(CPL, RPL). • CPL是当前正在运行的程序的特权级. • DPL是描述符特权级，位于段描述符中，它表明了什么样的特权级程序可以使用这个段。 • RPL是请求特权级。
微机接口技术
间接任务切换
当CPL＞DPLTSS时，就不能采用任务的直接切换，必须通过任务门进行任务的切换。此时，指令中包含的是任务门选择符。选择符指向的是任务门描述符，门中的ＴＳＳ选择符选中新任务的ＴＳＳ描述符，激活新的ＴＳＳ，启动新的任务。
微机接口技术
利用JMP/CALL或中断进行任务间接切换示意图
CPL < DPL, 可以转移吗?
微机接口技术
间接转移的保护
间接转移采用JMP/CALL X:Y指令，其中X不再是16位段选择符，而是一个门选择符。使用门选择符的转移是间接转移。在直接转移中，X是16位段选择符。
微机接口技术
通过调用门的转移和检查
• 图2-35，通过调用门转移到更高的特权级。 • 图2-36，调用门的特权级检查。
• 如果在利用调用门调用子程序时引起特权级的转换和堆栈的改变，那么就需要将外层堆栈中的参数复制到内层堆栈。
微机接口技术
中断门和陷阱门
• 中断门和陷阱门描述中断/异常处理程序的人口点。中断门和陷阱门内的选择子必须指向代码段描述符，门内的偏移就是对应代码段的人口点的偏移。 • 中断门和陷阱门只在中断描述符表IDT中才有效。关于中断门和陷阱门的区别将在后面论述。
Base Limit
LDT/ GDT
LDTR/ GDTR
Limit
Base
Base
微机接口技术
对程序转移的保护
直接转移的保护 1）同一代码段内转移时，只需要检查限长。 2）段间调用或跳转，需要检查限长，特权级CPL和DPL。
CPL=DPL，允许跳转和调用。 CPL<DPL，禁止。 CPL>DPL，此时要检查段描述符的C位。如果C位为1，表示这是一致代码段,允许跳转和调用。
微机接口技术
对数据访问的保护
为段寄存器赋值时的检查程序要访问某一个段时，在将选择符赋给DS 之前，CPU依据选择符的TI位在GDT或LDT中读入段描述符，并验证：
1）P位，如果P位为0，CPU会引发一个异常，由操作系统程序进行处理 2）段类型是否与目标段选择符类型（CS、DS、SS等）一致，即类型检查
微机接口技术
TSS中堆栈指针的使用
只有特权级别发生变化时才切换堆栈。 1. 使用CALL指令通过调用门向高特权级转移 2. 使用RET指令实现向低特权级转移。
微机接口技术
特权级保护
保护模式下设臵了0、1、2、3共4个特权级，以区分操作系统程序和应用程序。这种特权级机制阻止了用户程序对操作系统的非法访问，保证高特权级的代码或数据不被低特权级的程序所破坏。
微机接口技术
Privilege - check

CPL=0: 操作系统内核,
DPL=2, RPL=2, 应用程序的数据段.

MOV AX,0042h MOV DS,AX (DPL=2在段描述符中)

操作系统可以读取应用程序的数据段 CPL=3, RPL=0, DPL=0, 是否可以?
微机接口技术
微机接口技术
任务切换的步骤
1. 把寄存器现场保存到当前任务的TSS（任务A的TSS）。 2. 把指示目标任务（任务B）TSS的选择符装入TR寄存器中，同时把对应TSS的描述符装入TR的高速缓冲寄存器中。 3. 恢复当前任务（任务B）的寄存器现场。 4. 进行链接处理。
微机接口技术
5. 把CR0中的TS标志臵为1，这表示已发生过任务切换，在当前任务使用协处理器指令时，产生故障（向量号为7）。 6. 把TSS中的CS选择符的RPL作为当前任务特权级，设臵为CPL。 7. 装载LDTR寄存器。 8. 装载代码段寄存器CS、堆栈段寄存器SS和各数据段寄存器及其高速缓冲寄存器。