- Văn bản
- Lịch sử
The major technical insight that em
The major technical insight that emerged at this time was that a secure operating system needed
a small, verifiably correct foundation upon which the security of the system can be derived. This
foundation was called a security kernel [108]. A security kernel is defined as the hardware and
software necessary to realize the reference monitor abstraction [10].Asecurity kernel design includes
hardware mechanisms leveraged by a minimal, software trusted computing base (TCB) to achieve
the reference monitor concept guarantees of tamperproofing, complete mediation, and verifiability
(see Definition 2.6).
The first security kernel was prototyped by MITRE in 1974. It directly managed the system’s
physical resources with less than 20 subroutines in less than 1000 source lines of code. In addition
to identifying what is necessary to build a security kernel that implements a reference monitor,
this experience and the Multics experience indicated how a security kernel should be built.While
mediation and tamperproofing are fundamental to the design of a security kernel, in building a
security kernel the focus became verification. Three core principles emerged [10]. First, a security
kernel has to implement a specific security policy, as it can only be verified as being secure with respect
to some specific security goals.A security goal policy (e.g., based on information flow, see Chapter 5)
must be defined in a mandatory protection system (see Definition 2.4) to enable verification. Second,
the design of the security kernel must define a verifiable protection behavior of the system as a whole.
That is, the system mechanisms must be comprehensively assessed to verify that they implement
the desired security goals. This must be in the context of the security kernel’s specified security
policy. Third, the implementation of the kernel must be shown to be faithful to the security model’s
design.While a mathematical formalism may describe the design of the security kernel and enable
its formal verification, the implementation of the security kernel in source code must not invalidate
the principles established in the design.
Thus, the design and implementation of security kernels focused on the design of hardware,
a minimal kernel, and supporting trusted services that could be verified to implement a specific
security policy, multilevel security. While Multics had been designed to implement security on a
particular hardware platform, the design of security kernels included the design of hardware that
would enable efficient mediation of all accesses. The design of security kernel operating systems
leverages this hardware to provide a small number of mechanism necessary to enforce multilevel
security. Finally, some trusted services are identified, such as file systems and process management,
that are necessary to build a functional system.
The primary goal of most security kernel efforts became verification that the source level
implementation satisfies the reference monitor concept. This motivated the exploration of formal
and semi-formal methods for verifying that a design implemented the intended security goals and for
verifying that a resultant source code implementation satisfied the verified design. AsTuring showed
that no general algorithm can show that any program satisfies a particular property (e.g., halts or
is secure), such security verification must be customized to the individual systems and designs. The
work in security kernel verification motivated the subsequent methodologies for system security
6.2. SECURE COMMUNICATIONS PROCESSOR 77
assurance (see Chapter 12. The optimistic hope that formal tools would be developed that could
automatically support formal assurance has not been fulfilled, but nonetheless assurance is still the
most practical means known to ensure that a system implements a security goal.
Verification that an implementation correctly enforces a system’s security goals goes far beyond
verifying the authorization mechanisms are implemented correctly.The system implementationmust
be verified to ensure that all system resource mechanisms (see Chapter 1) are not vulnerable to attack.
As computing hardware is complex, assurance of correct use of hardware for implementing system
resources is nontrivial. Consider the memory system.A hardware component called the Translation
Lookaside Buffer (TLB) holds a cache of mappings from virtual memory pages to their physical
memory counterparts. If an attacker can modify these mappings they may be able to compromise
the secrecy and integrity of system and user application data. Depending on the system architecture,
TLBs may be filled by hardware or software. For hardware-filled TLBs, the system implementation
must ensure that the page table entries used to fill the TLB cannot be modified by attackers. For
software-filled TLBs, the refill code and data used by the code must be isolated from any attacker
behavior.
a small, verifiably correct foundation upon which the security of the system can be derived. This
foundation was called a security kernel [108]. A security kernel is defined as the hardware and
software necessary to realize the reference monitor abstraction [10].Asecurity kernel design includes
hardware mechanisms leveraged by a minimal, software trusted computing base (TCB) to achieve
the reference monitor concept guarantees of tamperproofing, complete mediation, and verifiability
(see Definition 2.6).
The first security kernel was prototyped by MITRE in 1974. It directly managed the system’s
physical resources with less than 20 subroutines in less than 1000 source lines of code. In addition
to identifying what is necessary to build a security kernel that implements a reference monitor,
this experience and the Multics experience indicated how a security kernel should be built.While
mediation and tamperproofing are fundamental to the design of a security kernel, in building a
security kernel the focus became verification. Three core principles emerged [10]. First, a security
kernel has to implement a specific security policy, as it can only be verified as being secure with respect
to some specific security goals.A security goal policy (e.g., based on information flow, see Chapter 5)
must be defined in a mandatory protection system (see Definition 2.4) to enable verification. Second,
the design of the security kernel must define a verifiable protection behavior of the system as a whole.
That is, the system mechanisms must be comprehensively assessed to verify that they implement
the desired security goals. This must be in the context of the security kernel’s specified security
policy. Third, the implementation of the kernel must be shown to be faithful to the security model’s
design.While a mathematical formalism may describe the design of the security kernel and enable
its formal verification, the implementation of the security kernel in source code must not invalidate
the principles established in the design.
Thus, the design and implementation of security kernels focused on the design of hardware,
a minimal kernel, and supporting trusted services that could be verified to implement a specific
security policy, multilevel security. While Multics had been designed to implement security on a
particular hardware platform, the design of security kernels included the design of hardware that
would enable efficient mediation of all accesses. The design of security kernel operating systems
leverages this hardware to provide a small number of mechanism necessary to enforce multilevel
security. Finally, some trusted services are identified, such as file systems and process management,
that are necessary to build a functional system.
The primary goal of most security kernel efforts became verification that the source level
implementation satisfies the reference monitor concept. This motivated the exploration of formal
and semi-formal methods for verifying that a design implemented the intended security goals and for
verifying that a resultant source code implementation satisfied the verified design. AsTuring showed
that no general algorithm can show that any program satisfies a particular property (e.g., halts or
is secure), such security verification must be customized to the individual systems and designs. The
work in security kernel verification motivated the subsequent methodologies for system security
6.2. SECURE COMMUNICATIONS PROCESSOR 77
assurance (see Chapter 12. The optimistic hope that formal tools would be developed that could
automatically support formal assurance has not been fulfilled, but nonetheless assurance is still the
most practical means known to ensure that a system implements a security goal.
Verification that an implementation correctly enforces a system’s security goals goes far beyond
verifying the authorization mechanisms are implemented correctly.The system implementationmust
be verified to ensure that all system resource mechanisms (see Chapter 1) are not vulnerable to attack.
As computing hardware is complex, assurance of correct use of hardware for implementing system
resources is nontrivial. Consider the memory system.A hardware component called the Translation
Lookaside Buffer (TLB) holds a cache of mappings from virtual memory pages to their physical
memory counterparts. If an attacker can modify these mappings they may be able to compromise
the secrecy and integrity of system and user application data. Depending on the system architecture,
TLBs may be filled by hardware or software. For hardware-filled TLBs, the system implementation
must ensure that the page table entries used to fill the TLB cannot be modified by attackers. For
software-filled TLBs, the refill code and data used by the code must be isolated from any attacker
behavior.
0/5000
Sự thấu hiểu kỹ thuật lớn xuất hiện tại thời điểm này là một hệ điều hành an toàn cần thiếtmột nền tảng nhỏ, verifiably đúng khi mà sự bảo mật của hệ thống có thể được bắt nguồn. Điều nàynền tảng đã được gọi là an ninh hạt nhân [108]. An ninh hạt nhân được định nghĩa là phần cứng vàphần mềm cần thiết để nhận ra các trừu tượng màn hình tham khảo [10]. Asecurity hạt nhân thiết kế bao gồmcơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm tin cậy tính toán cơ sở (TCB) để đạt đượckhái niệm màn hình tham khảo đảm bảo tamperproofing, hoàn toàn hòa giải và verifiability(xem định nghĩa 2.6).Hạt nhân đầu tiên của an ninh vào prototyped của MITRE năm 1974. Nó trực tiếp quản lý của hệ thốngvật lý tài nguyên với ít hơn 20 subroutines ở hơn 1.000 nguồn dòng mã. Ngoài rađể xác định những gì là cần thiết để xây dựng một hạt nhân an ninh mà thực hiện một màn hình tham khảo,kinh nghiệm này và kinh nghiệm của Multics chỉ ra làm thế nào một hạt nhân bảo mật cần được xây dựng. Thời gianhòa giải và tamperproofing là cơ bản để thiết kế một an ninh hạt nhân, trong việc xây dựng mộtan ninh hạt nhân tập trung trở thành xác minh. Ba nguyên tắc cốt lõi đã nổi lên [10]. Đầu tiên, một bảo mậthạt nhân đã thực hiện một chính sách bảo mật cụ thể, vì nó chỉ có thể được kiểm chứng là an toàn với sự tôn trọngmột số mục tiêu cụ thể bảo mật. Một mục tiêu chính sách bảo mật (ví dụ, dựa trên dòng chảy thông tin, xem chương 5)phải được xác định trong một hệ thống bảo vệ bắt buộc (xem định nghĩa 2.4) để kích hoạt quy trình xác minh. Thứ hai,thiết kế an ninh hạt nhân phải xác định một hành vi kiểm chứng bảo vệ của hệ thống như một toàn thể.Đó là, các cơ chế hệ thống phải được toàn diện đánh giá để xác minh rằng họ thực hiệncác mục tiêu mong muốn bảo mật. Điều này phải trong bối cảnh an ninh quy định hạt nhân an ninhchính sách. Thứ ba, việc thực hiện các hạt nhân phải được hiển thị để được trung thành với mô hình bảo mậtthiết kế. Trong khi một hình thức toán học có thể mô tả việc thiết kế các hạt nhân an ninh và sửxác minh chính thức của nó, việc thực hiện an ninh hạt nhân trong mã nguồn phải không làm mất hiệu lựcCác nguyên tắc thành lập trong thiết kế.Vì vậy, việc thiết kế và thực hiện an ninh hạt nhân tập trung vào việc thiết kế phần cứng,một hạt nhân tối thiểu, và hỗ trợ các dịch vụ đáng tin cậy có thể được kiểm chứng để thực hiện một cụ thểchính sách an ninh, bảo mật đa. Trong khi Multics đã được thiết kế để thực hiện an ninh trên mộtnền tảng phần cứng cụ thể, thiết kế an ninh hạt nhân bao gồm thiết kế phần cứng màsẽ cho phép trung gian hòa giải hiệu quả của tất cả các đường dẫn truy cập. Thiết kế an ninh hạt nhân điều hành hệ thốngthúc đẩy phần cứng này để cung cấp cho một số nhỏ các cơ chế cần thiết để thi hành đaan ninh. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như tập tin hệ thống và quy trình quản lý,đó là cần thiết để xây dựng một hệ thống chức năng.Mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng nguồn cấpthực hiện thỏa mãn khái niệm màn hình tham khảo. Điều này thúc đẩy thăm dò của chính thứcvà phương pháp bán chính thức xác nhận rằng một thiết kế triển khai thực hiện các mục tiêu dự định an ninh và chokiểm tra việc thực hiện mã nguồn kết quả hài lòng thiết kế đã được xác minh. AsTuring cho thấykhông có thuật toán chung có thể hiển thị bất kỳ chương trình đáp ứng một tài sản cụ thể (ví dụ: halts hoặcđược an toàn), như xác minh bảo mật phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. Cáclàm việc an ninh hạt nhân quy trình xác minh động cơ các phương pháp tiếp theo cho hệ thống an ninh6.2. BẢO MẬT THÔNG TIN LIÊN LẠC BỘ VI XỬ LÝ 77bảo hiểm (xem chương 12. Hy vọng lạc quan rằng công cụ chính thức sẽ được phát triển mà có thểtự động đảm bảo hỗ trợ chính thức đã không được hoàn thành, nhưng dù sao vẫn là đảm bảo cáccó nghĩa là thực tế nhất được biết đến để đảm bảo rằng một hệ thống thực hiện một mục tiêu an ninh.Xác minh rằng việc thực hiện một cách chính xác thi hành một hệ thống an ninh mục tiêu đi xa hơn thế nữađể xác minh các cơ chế ủy quyền thực hiện một cách chính xác. Hệ thống implementationmustđược kiểm chứng để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không dễ bị tấn công.Như máy tính phần cứng rất phức tạp, bảo đảm sử dụng đúng phần cứng cho việc thực hiện hệ thốngtài nguyên là nontrivial. Xem xét hệ thống bộ nhớ. Một thành phần phần cứng được gọi là bản dịchLookaside đệm (TLB) nắm giữ một bộ nhớ cache của ánh xạ từ các trang bộ nhớ ảo để thể chất của họđối tác bộ nhớ. Nếu một kẻ tấn công có thể sửa đổi các ánh xạ mà họ có thể được thỏa hiệpbí mật và tính toàn vẹn của dữ liệu ứng dụng hệ thống và người sử dụng. Tùy thuộc vào kiến trúc hệ thốngTLBs có thể được lấp đầy bởi phần cứng hoặc phần mềm. Cho phần cứng đầy TLBs, thực hiện hệ thốngphải đảm bảo rằng các trang bảng mục được sử dụng để điền vào TLB không thể sửa đổi bởi những kẻ tấn công. Chophần mềm đầy đủ TLBs, mã số nạp tiền và dữ liệu được sử dụng bởi các mã phải được phân lập từ bất kỳ kẻ tấn cônghành vi.
đang được dịch, vui lòng đợi..
Sự thấu hiểu kỹ thuật chủ yếu nổi lên vào thời điểm này là một hệ điều hành an toàn cần thiết
một nhỏ, nền tảng verifiably đúng khi mà sự an toàn của hệ thống có thể được bắt nguồn. Đây
Quỹ này được gọi là một hạt nhân an toàn [108]. Một hạt nhân an ninh được định nghĩa như là phần cứng và
phần mềm cần thiết để nhận ra sự trừu tượng màn hình tham khảo [10] thiết kế .Asecurity hạt nhân bao gồm
các cơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm đáng tin cậy cơ sở tính toán (TCB) để đạt được
sự đảm bảo màn hình tham khảo khái niệm tamperproofing, hoàn chỉnh hòa giải, và kiểm chứng
(xem Định nghĩa 2.6).
các hạt nhân bảo mật đầu tiên được tạo nguyên mẫu của MITRE vào năm 1974. Nó được quản lý trực tiếp của hệ thống
nguồn lực vật chất với ít hơn 20 chương trình con trong ít hơn 1.000 dòng mã nguồn mã. Ngoài ra
, để xác định những gì là cần thiết để xây dựng một hạt nhân an ninh mà thực hiện một màn hình tham khảo,
kinh nghiệm và kinh nghiệm Multics chỉ ra cách một hạt nhân an ninh nên built.While
hòa giải và tamperproofing là nền tảng cho các thiết kế của một hạt nhân an ninh, xây dựng một
hạt nhân an ninh tập trung đã trở thành xác minh. Ba nguyên tắc cốt lõi nổi lên [10]. Đầu tiên, một an ninh
hạt nhân đã thực hiện một chính sách bảo mật cụ thể, vì nó chỉ có thể được xác minh là an toàn đối với
một số bảo mật cụ thể chính sách mục tiêu an ninh goals.A (ví dụ, dựa trên dòng chảy thông tin, xem Chương 5)
phải được xác định trong một hệ thống bảo vệ bắt buộc (xem Định nghĩa 2.4) cho phép xác minh. Thứ hai,
các thiết kế của hạt nhân an ninh phải xác định một hành vi bảo vệ kiểm chứng của hệ thống như một toàn thể.
Đó là, các cơ chế hệ thống phải được đánh giá một cách toàn diện để xác minh rằng họ thực hiện
các mục tiêu an ninh mong muốn. Điều này phải là trong bối cảnh an ninh quy định hạt nhân an ninh của
chính sách. Thứ ba, việc thực hiện của các hạt nhân phải được thể hiện là trung thành với những mô hình bảo mật của
design.While một hình thức toán học có thể mô tả thiết kế của hạt nhân an toàn và cho phép
xác minh chính thức của nó, việc thực hiện của hạt nhân an ninh trong mã nguồn không phải mất hiệu lực của
các nguyên tắc thành lập trong thiết kế.
Vì vậy, việc thiết kế và thực hiện các hạt nhân an ninh tập trung vào việc thiết kế phần cứng,
một hạt nhân tối thiểu, và duy trì chế dịch vụ có thể được xác nhận để thực hiện một cụ đáng tin cậy
chính sách bảo mật, an ninh đa cấp. Trong khi Multics đã được thiết kế để thực hiện bảo mật trên một
nền tảng phần cứng đặc biệt, thiết kế của hạt nhân an ninh bao gồm các thiết kế của phần cứng mà
sẽ cho phép hòa giải hiệu quả của tất cả các truy cập. Việc thiết kế các hệ thống điều hành hạt nhân an ninh
thúc đẩy phần cứng này để cung cấp một số lượng nhỏ các cơ chế cần thiết để thực thi đa cấp
an ninh. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như các hệ thống tập tin và quản lý quá trình,
đó là cần thiết để xây dựng một hệ thống chức năng.
Các mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng mức độ nguồn
thực hiện đủ các khái niệm màn hình tham khảo. Điều này thúc đẩy việc thăm dò chính thức
phương pháp và bán chính thức xác minh rằng một thiết kế thực hiện các mục tiêu an ninh dự định và
xác minh rằng một kết quả mã nguồn thực hiện hoàn thành các thiết kế xác minh. AsTuring cho thấy
rằng không có thuật toán nói chung có thể thấy bất kỳ chương trình đáp ứng được một tài sản cụ thể (ví dụ, ngừng hoặc
là an toàn), xác minh an ninh phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. Các
công việc trong thẩm tra hạt nhân an ninh thúc đẩy các phương pháp sau để bảo mật hệ thống
6.2. SECURE TRUYỀN PROCESSOR 77
đảm bảo (xem Chương 12. Hy vọng lạc quan rằng các công cụ chính thức sẽ được phát triển để có thể
tự động hỗ trợ bảo đảm chính thức đã không được thực hiện, nhưng dù sao đảm bảo vẫn là
phương tiện thiết thực nhất được biết đến để đảm bảo rằng một hệ thống thực hiện một mục tiêu an ninh.
xác minh rằng một thực hiện thực thi một cách chính xác các mục tiêu an ninh của hệ thống vượt xa
xác minh việc cấp phép các cơ chế được thực hiện hệ thống correctly.The implementationmust
được kiểm tra để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không phải là dễ bị tấn công.
Như phần cứng máy tính là phức tạp, bảo đảm sử dụng đúng của phần cứng để thực hiện hệ thống
tài nguyên là không tầm thường. Hãy xem xét các thành phần bộ nhớ phần cứng system.A gọi là dịch
Lookaside Buffer (TLB) nắm giữ một bộ nhớ cache của các ánh xạ từ các trang bộ nhớ ảo về vật lý của họ
đối bộ nhớ. Nếu kẻ tấn công có thể sửa đổi các ánh xạ họ có thể thỏa hiệp
sự bảo mật và tính toàn vẹn của hệ thống và các ứng dụng dữ liệu người dùng. Tùy thuộc vào kiến trúc hệ thống,
TLBs có thể được lấp đầy bởi phần cứng hay phần mềm. Đối với TLBs phần cứng đầy, việc thực hiện hệ thống
phải đảm bảo rằng các bảng mục trang được sử dụng để điền vào các TLB không thể được sửa đổi bởi kẻ tấn công. Đối với
TLBs phần mềm đầy, mã nạp tiền và dữ liệu được sử dụng bởi các mã phải được phân lập từ bất kỳ kẻ tấn công
hành vi.
một nhỏ, nền tảng verifiably đúng khi mà sự an toàn của hệ thống có thể được bắt nguồn. Đây
Quỹ này được gọi là một hạt nhân an toàn [108]. Một hạt nhân an ninh được định nghĩa như là phần cứng và
phần mềm cần thiết để nhận ra sự trừu tượng màn hình tham khảo [10] thiết kế .Asecurity hạt nhân bao gồm
các cơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm đáng tin cậy cơ sở tính toán (TCB) để đạt được
sự đảm bảo màn hình tham khảo khái niệm tamperproofing, hoàn chỉnh hòa giải, và kiểm chứng
(xem Định nghĩa 2.6).
các hạt nhân bảo mật đầu tiên được tạo nguyên mẫu của MITRE vào năm 1974. Nó được quản lý trực tiếp của hệ thống
nguồn lực vật chất với ít hơn 20 chương trình con trong ít hơn 1.000 dòng mã nguồn mã. Ngoài ra
, để xác định những gì là cần thiết để xây dựng một hạt nhân an ninh mà thực hiện một màn hình tham khảo,
kinh nghiệm và kinh nghiệm Multics chỉ ra cách một hạt nhân an ninh nên built.While
hòa giải và tamperproofing là nền tảng cho các thiết kế của một hạt nhân an ninh, xây dựng một
hạt nhân an ninh tập trung đã trở thành xác minh. Ba nguyên tắc cốt lõi nổi lên [10]. Đầu tiên, một an ninh
hạt nhân đã thực hiện một chính sách bảo mật cụ thể, vì nó chỉ có thể được xác minh là an toàn đối với
một số bảo mật cụ thể chính sách mục tiêu an ninh goals.A (ví dụ, dựa trên dòng chảy thông tin, xem Chương 5)
phải được xác định trong một hệ thống bảo vệ bắt buộc (xem Định nghĩa 2.4) cho phép xác minh. Thứ hai,
các thiết kế của hạt nhân an ninh phải xác định một hành vi bảo vệ kiểm chứng của hệ thống như một toàn thể.
Đó là, các cơ chế hệ thống phải được đánh giá một cách toàn diện để xác minh rằng họ thực hiện
các mục tiêu an ninh mong muốn. Điều này phải là trong bối cảnh an ninh quy định hạt nhân an ninh của
chính sách. Thứ ba, việc thực hiện của các hạt nhân phải được thể hiện là trung thành với những mô hình bảo mật của
design.While một hình thức toán học có thể mô tả thiết kế của hạt nhân an toàn và cho phép
xác minh chính thức của nó, việc thực hiện của hạt nhân an ninh trong mã nguồn không phải mất hiệu lực của
các nguyên tắc thành lập trong thiết kế.
Vì vậy, việc thiết kế và thực hiện các hạt nhân an ninh tập trung vào việc thiết kế phần cứng,
một hạt nhân tối thiểu, và duy trì chế dịch vụ có thể được xác nhận để thực hiện một cụ đáng tin cậy
chính sách bảo mật, an ninh đa cấp. Trong khi Multics đã được thiết kế để thực hiện bảo mật trên một
nền tảng phần cứng đặc biệt, thiết kế của hạt nhân an ninh bao gồm các thiết kế của phần cứng mà
sẽ cho phép hòa giải hiệu quả của tất cả các truy cập. Việc thiết kế các hệ thống điều hành hạt nhân an ninh
thúc đẩy phần cứng này để cung cấp một số lượng nhỏ các cơ chế cần thiết để thực thi đa cấp
an ninh. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như các hệ thống tập tin và quản lý quá trình,
đó là cần thiết để xây dựng một hệ thống chức năng.
Các mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng mức độ nguồn
thực hiện đủ các khái niệm màn hình tham khảo. Điều này thúc đẩy việc thăm dò chính thức
phương pháp và bán chính thức xác minh rằng một thiết kế thực hiện các mục tiêu an ninh dự định và
xác minh rằng một kết quả mã nguồn thực hiện hoàn thành các thiết kế xác minh. AsTuring cho thấy
rằng không có thuật toán nói chung có thể thấy bất kỳ chương trình đáp ứng được một tài sản cụ thể (ví dụ, ngừng hoặc
là an toàn), xác minh an ninh phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. Các
công việc trong thẩm tra hạt nhân an ninh thúc đẩy các phương pháp sau để bảo mật hệ thống
6.2. SECURE TRUYỀN PROCESSOR 77
đảm bảo (xem Chương 12. Hy vọng lạc quan rằng các công cụ chính thức sẽ được phát triển để có thể
tự động hỗ trợ bảo đảm chính thức đã không được thực hiện, nhưng dù sao đảm bảo vẫn là
phương tiện thiết thực nhất được biết đến để đảm bảo rằng một hệ thống thực hiện một mục tiêu an ninh.
xác minh rằng một thực hiện thực thi một cách chính xác các mục tiêu an ninh của hệ thống vượt xa
xác minh việc cấp phép các cơ chế được thực hiện hệ thống correctly.The implementationmust
được kiểm tra để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không phải là dễ bị tấn công.
Như phần cứng máy tính là phức tạp, bảo đảm sử dụng đúng của phần cứng để thực hiện hệ thống
tài nguyên là không tầm thường. Hãy xem xét các thành phần bộ nhớ phần cứng system.A gọi là dịch
Lookaside Buffer (TLB) nắm giữ một bộ nhớ cache của các ánh xạ từ các trang bộ nhớ ảo về vật lý của họ
đối bộ nhớ. Nếu kẻ tấn công có thể sửa đổi các ánh xạ họ có thể thỏa hiệp
sự bảo mật và tính toàn vẹn của hệ thống và các ứng dụng dữ liệu người dùng. Tùy thuộc vào kiến trúc hệ thống,
TLBs có thể được lấp đầy bởi phần cứng hay phần mềm. Đối với TLBs phần cứng đầy, việc thực hiện hệ thống
phải đảm bảo rằng các bảng mục trang được sử dụng để điền vào các TLB không thể được sửa đổi bởi kẻ tấn công. Đối với
TLBs phần mềm đầy, mã nạp tiền và dữ liệu được sử dụng bởi các mã phải được phân lập từ bất kỳ kẻ tấn công
hành vi.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- contraction
- 1-What are advantages for AAA to set up
- tôi ổn, cái gì, tết này anh về àI'm fine
- Proliferation of deadly weapon
- Ước gì bạn có thể về quê thăm tôi và nói
- doyou want to allow the rollowing progra
- This block implements the thermal model
- Die casting is a process that Chem-Trend
- khung xương trần thạch cao
- hoàn thành tốt công việc
- Many specialty shops open in strip shopp
- 1. Material Property Data of PC Spun Pil
- ĐÃ CÓ NGƯỜI CHIA SẺ CÙNG CẬU, TỚ YÊN TÂM
- Ước gì bạn có thể về thái bình thăm tôi
- Họ tên
- tôi thường phải mang máy về nhà, để tiện
- Download size requires Wi-Fi.
- hàng thủ công mỹ nghệ
- can we zoom in a little closer to the en
- pls ask in customs if they have package
- Ngoài Vinamilk và Dutch Lady là hai công
- Warehousing & Storage CostsWarehousing &
- cửa hàng chuyên doanh
- đế giày bị bong keo, bị đứt chỉ, chất li
