Năm 1981, Rushby đã kiểm tra khó khăn của hệ thống an ninh tòa nhà hạt nhân, chẳng hạn như Scomp và
GEMSOS thảo luận trong Chương 6. Rushby thấy rằng các hệ thống hạt nhân an toàn, mặc dù cơ sở tính toán đáng tin cậy gần như tối thiểu của họ, có một ý nghĩa, sự phụ thuộc không kiểm soát được các dịch vụ đáng tin cậy. Kết quả là, ông định nghĩa một phương pháp khác mà ông gọi là một hạt nhân tách [259, 260].
Trong một hệ thống đa cấp (MLS), nếu quá trình nào có thể ghi dữ liệu từ một mức độ nhạy cảm cao với một
mức độ nhạy thấp hơn, nó vi phạm MLS chính sách (xem chính sách Bell-LaPadula [23] trong chương 5).
Tuy nhiên, một số dịch vụ được giao phó với các hoạt động như vậy, chẳng hạn như hệ thống mã hóa nội tuyến [259], đó mã hóa dữ liệu bí mật và gửi nó qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý dữ liệu ở nhiều cấp độ nhạy cảm với rò rỉ, chẳng hạn như tập tin và in các máy chủ. Trong một hệ thống MLS, quá trình như vậy chỉ đơn giản là đáng tin cậy, và các chính sách MLS không được thực thi trên chúng. Rushby tuyên bố rằng việc đảm bảo sự chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống hạt nhân bảo mật là quá phức tạp. Trong một hệ thống mục đích chung, chúng tôi có một số lượng lớn các dịch vụ đáng tin cậy, có khả năng tương tác phức tạp giữa các dịch vụ đáng tin cậy, và một loạt các giao diện truy cập vào các quá trình không tin cậy. Các hệ thống với hơn 30 chương trình tin cậy của nó SELinux là biểu hiện của số chương trình đáng tin cậy trong một hệ thống có mục đích chung. Sự tương tác giữa các quá trình kết quả đáng tin cậy không được xác định rõ ràng, nhưng họ có thể sẽ phức tạp. Nguy hiểm nhất của tất cả là số cách mà các quá trình không tin cậy có thể gọi chương trình đáng tin cậy. Trong hệ thống hạt nhân an toàn tối thiểu, chẳng hạn như Scomp và GEMSOS, có 30-40 cửa quy định để kiểm soát các viện dẫn như vậy. Trong một hệ thống điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp Rushby là để chữa trị cho mỗi chương trình đáng tin cậy như một sẽ là một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ file sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh truyền thông duy nhất. Nếu các "máy chủ tập tin tuân thủ và thực thi các chính sách an ninh đa cấp, an ninh của phần còn lại của hệ thống sau" [259]. Đó là, thực thi các mục tiêu an ninh hệ thống có thể được cấu tạo từ các nguyên tố bị cô lập mà "tuân thủ và thực thi" [259] những mục tiêu an ninh.
Rushby đặt ra tên của một hệ thống như một hạt nhân tách để phân biệt nó từ một an ninh
kernel.A tách hạt nhân nhấn mạnh sự độc lập và truyền thông có thẩm quyền. Mỗi tin cậy
dịch vụ chạy trong một hệ thống riêng biệt và độc lập, có lẽ trên nền tảng vật lý như nhau hoặc có thể không, và các dịch vụ chỉ có thể được truy cập bởi một số lượng nhỏ của các kênh truyền thông qua trung gian. Các hạt nhân tách có khả năng hòa giải hoàn toàn của các kênh truyền thông như vậy, như là các dịch vụ có thể được cô lập hoàn toàn với phần còn lại của hệ thống.
Rushby ghi nhận sự giống nhau giữa các khái niệm tách hạt nhân và hệ thống máy ảo,
như chúng ta đã mô tả chúng ở trên. Sự khác biệt chính là hạt nhân tách không yêu cầu
rằng hạt nhân tách cung cấp một API phần cứng ảo hóa, như một màn hình máy ảo không. Các dịch vụ đáng tin cậy trong một hạt nhân phân tách có thể được tùy chỉnh để một hệ thống tách hạt nhân và
giảm thiểu (ví dụ, không phải chạy một hệ điều hành khách) .Với tăng phổ biến của paravirtualized
siêu giám sát, chẳng hạn như Xen [19], trong đó yêu cầu một số nhận thức về chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], ranh giới giữa một hạt nhân tách và một hệ thống máy ảo đang trở thành blurrier mỗi năm.
một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi là
nhiều trình độ độc lập về an ninh (mils) hệ thống [131, 7, 193, 9] kiến trúc hệ thống .A mils
đang được dịch, vui lòng đợi..