- Văn bản
- Lịch sử
The Honeywell Secure Communications
The Honeywell Secure Communications Processor (Scomp) system is a security kernel-based system
[99] designed to implement the Multics’s multilevel security (MLS) requirements [23], see
Chapter 3. The original idea was to build a security kernel and an emulator to enable execution of
an ordinary operating system (UNIX), as was done by KSOS [198] and the UCLA Secure Data
UNIX system [248]. After the performance and security of such emulated systems was found to
be insufficient, a decision was made to build a new application interface for Scomp that provides
applications with the necessary security that runs with reasonable performance.
The performance of a emulated system run on a security kernel is impacted by two issues. First,
the emulation may involve converting between incompatible representations of the two systems.
For example, UNIX I/O copies data directly to the application’s address space (e.g., on a file or
1The GEMSOS A1 evaluation was as part of the BLACKER system.
78 CHAPTER 6. SECURITY KERNELS
network read), but Scomp maintains data in individually managed segments to which access must
be authorized. As a result, rather than getting a filled buffer as in UNIX, Scomp I/O provides a
reference to a segment with the data. Second, the hardware features of a system may not supply
efficient primitives for emulated function. For example, Multics hardware did not provide hardware
support for ring crossings (i.e., protection domain transitions), so these must be implemented in
software at a higher cost.
Further, the emulated system may include mechanisms that are not secure with respect the
requirements of the security kernel. For example, UNIX supports the transfer of file descriptors on
fork and exec operations. Thus, a parent process may be able to leak data to the child or provide
the means for the child to leak its own data. This problem must be addressed in secure versions of
commercial operating systems, see Chapter 7, but the Scomp designers felt these and similar issues
warranted a new application interface. The conflict between functional interfaces and how to secure
them is fundamental to the design of secure systems.
As a result of these performance and security concerns, the Scomp designers developed not
only a security kernel, but also new hardware mechanisms and a new application interface for writing
programs to the security kernel. Below, we discuss the overall architecture, major features, and impact
on application development.
[99] designed to implement the Multics’s multilevel security (MLS) requirements [23], see
Chapter 3. The original idea was to build a security kernel and an emulator to enable execution of
an ordinary operating system (UNIX), as was done by KSOS [198] and the UCLA Secure Data
UNIX system [248]. After the performance and security of such emulated systems was found to
be insufficient, a decision was made to build a new application interface for Scomp that provides
applications with the necessary security that runs with reasonable performance.
The performance of a emulated system run on a security kernel is impacted by two issues. First,
the emulation may involve converting between incompatible representations of the two systems.
For example, UNIX I/O copies data directly to the application’s address space (e.g., on a file or
1The GEMSOS A1 evaluation was as part of the BLACKER system.
78 CHAPTER 6. SECURITY KERNELS
network read), but Scomp maintains data in individually managed segments to which access must
be authorized. As a result, rather than getting a filled buffer as in UNIX, Scomp I/O provides a
reference to a segment with the data. Second, the hardware features of a system may not supply
efficient primitives for emulated function. For example, Multics hardware did not provide hardware
support for ring crossings (i.e., protection domain transitions), so these must be implemented in
software at a higher cost.
Further, the emulated system may include mechanisms that are not secure with respect the
requirements of the security kernel. For example, UNIX supports the transfer of file descriptors on
fork and exec operations. Thus, a parent process may be able to leak data to the child or provide
the means for the child to leak its own data. This problem must be addressed in secure versions of
commercial operating systems, see Chapter 7, but the Scomp designers felt these and similar issues
warranted a new application interface. The conflict between functional interfaces and how to secure
them is fundamental to the design of secure systems.
As a result of these performance and security concerns, the Scomp designers developed not
only a security kernel, but also new hardware mechanisms and a new application interface for writing
programs to the security kernel. Below, we discuss the overall architecture, major features, and impact
on application development.
0/5000
Hệ thống Honeywell an toàn thông tin bộ vi xử lý (Scomp) là một hệ thống an ninh hạt nhân dựa trên[99] được thiết kế để thực hiện các yêu cầu bảo mật đa (MLS) của Multics [23], xemChương 3. Ý tưởng ban đầu là để xây dựng một an ninh hạt nhân và một trình giả lập để cho phép thực hiệnmột hệ điều hành bình thường (UNIX), như đã được thực hiện bởi KSOS [198] và UCLA an toàn dữ liệuHệ thống UNIX [248]. Sau khi hiệu suất và bảo mật của hệ thống mô phỏng như vậy đã được tìm thấykhông đủ, một quyết định đã được thực hiện để xây dựng một giao diện ứng dụng mới cho Scomp cung cấpứng dụng bảo mật cần thiết mà chạy với hiệu suất hợp lý.Hiệu suất của một hệ thống mô phỏng chạy trên một hạt nhân an ninh bị ảnh hưởng bởi hai vấn đề. Đầu tiên,Các mô phỏng có liên quan đến chuyển đổi giữa các đại diện không tương thích của hai hệ thống.Ví dụ: i/o UNIX sao chép dữ liệu trực tiếp cho các ứng dụng không gian địa chỉ (ví dụ, trên một tập tin hoặc1The GEMSOS A1 thẩm định là một phần của hệ thống BLACKER.78 CHƯƠNG 6. AN NINH HẠT NHÂNmạng đọc), nhưng Scomp vẫn duy trì dữ liệu trong các phân đoạn được quản lý riêng lẻ mà truy cập phảiđược ủy quyền. Do đó, thay vì nhận được một bộ đệm đầy như UNIX, i/o Scomp cung cấp mộttham chiếu đến một phân đoạn với các dữ liệu. Thứ hai, các tính năng phần cứng của một hệ thống có thể không cung cấphiệu quả nguyên thủy để mô phỏng chức năng. Ví dụ, phần cứng Multics đã không cung cấp phần cứnghỗ trợ cho vòng cắt (tức là bảo vệ tên miền chuyển tiếp), vì vậy, chúng phải được thực hiện trongphần mềm chi phí cao hơn.Hơn nữa, các hệ thống mô phỏng có thể bao gồm cơ chế mà không phải là an toàn với sự tôn trọng cácyêu cầu về an ninh hạt nhân. Ví dụ, UNIX hỗ trợ việc chuyển giao các bộ mô tả tập tin trênngã ba và exec hoạt động. Do đó, một quá trình phụ huynh có thể có thể bị rò rỉ dữ liệu để các con hoặc cung cấpcó nghĩa là cho trẻ em bị rò rỉ dữ liệu riêng của mình. Vấn đề này phải được giải quyết trong các phiên bản an toàn củaHệ điều hành thương mại, xem chương 7, nhưng các nhà thiết kế Scomp cảm thấy những vấn đề tương tự vàbảo hành một giao diện mới của ứng dụng. Cuộc xung đột giữa các giao diện chức năng và làm thế nào để an toànhọ là cơ bản để thiết kế an toàn hệ thống.Là kết quả của những hiệu suất và bảo mật mối quan tâm, các nhà thiết kế Scomp phát triển khôngchỉ là một hạt nhân bảo mật, nhưng cơ chế phần cứng mới cũng và một giao diện ứng dụng mới cho văn bảnchương trình hạt nhân an toàn. Dưới đây, chúng tôi thảo luận về tổng thể kiến trúc, tính năng lớn và tác độngsự phát triển của ứng dụng.
đang được dịch, vui lòng đợi..
Hệ thống Honeywell Truyền thông an toàn Processor (Scomp) là một hạt nhân dựa trên hệ thống bảo mật
[99] được thiết kế để thực hiện an ninh đa cấp của Multics (MLS) yêu cầu [23], xem
Chương 3. Ý tưởng ban đầu là xây dựng một kernel an ninh và một giả lập để cho phép thực hiện
một hệ điều hành thông thường (UNIX), như đã được thực hiện bởi KSOS [198] và UCLA an toàn dữ liệu
hệ thống UNIX [248]. Sau khi hiệu suất và an ninh của các hệ thống mô phỏng như vậy đã được tìm thấy
là không đủ, một quyết định đã được thực hiện để xây dựng một ứng dụng giao diện mới cho Scomp cung cấp
các ứng dụng với sự an toàn cần thiết mà chạy với hiệu suất hợp lý.
Việc thực hiện một hệ thống chạy mô phỏng trên một an ninh hạt nhân bị ảnh hưởng bởi hai vấn đề. Đầu tiên,
các mô phỏng có thể liên quan đến việc chuyển đổi giữa các cơ quan đại diện không tương thích của hai hệ thống.
Ví dụ, UNIX I / O bản sao dữ liệu trực tiếp vào không gian địa chỉ của ứng dụng (ví dụ như, vào một tập tin hoặc
đánh giá 1The GEMSOS A1 là như là một phần của hệ thống Blacker.
78 CHƯƠNG 6. AN NINH HẠT NHÂN
mạng đọc), nhưng Scomp duy trì dữ liệu trong phân đoạn quản lý riêng rẽ mà truy cập phải
được ủy quyền. Kết quả là, thay vì nhận được một bộ đệm điền như trong UNIX, Scomp I / O cung cấp một
tham chiếu đến một phân khúc với dữ liệu. Thứ hai, các tính năng phần cứng của một hệ thống có thể không cung cấp
nguyên thủy hiệu quả cho các chức năng mô phỏng. Ví dụ, phần cứng Multics đã không cung cấp phần cứng
hỗ trợ cho các giao cắt vòng (tức là, quá trình chuyển đổi lĩnh vực bảo vệ), do đó phải được thực hiện trong
phần mềm với chi phí cao hơn.
Hơn nữa, hệ thống mô phỏng có thể bao gồm các cơ chế không an toàn đối với các
yêu cầu của hạt nhân, an ninh. Ví dụ, UNIX hỗ trợ việc chuyển file descriptor vào
hoạt động fork và exec. Do đó, một quá trình cha mẹ có thể bị rò rỉ dữ liệu cho đứa trẻ hoặc cung cấp
các phương tiện cho các con để rò rỉ dữ liệu riêng của mình. Vấn đề này phải được giải quyết trong các phiên bản bảo mật của
hệ điều hành thương mại, xem Chương 7, nhưng các nhà thiết kế Scomp cảm thấy những vấn đề tương tự và
bảo hành một ứng dụng giao diện mới. Cuộc xung đột giữa giao diện chức năng và làm thế nào để bảo đảm
chúng là nền tảng cho việc thiết kế các hệ thống an toàn.
Như một kết quả của các hoạt động và an ninh lo ngại, các nhà thiết kế Scomp phát triển không
chỉ là một hạt nhân an toàn, nhưng cũng cơ chế phần cứng mới và một giao diện ứng dụng mới cho viết
chương trình hạt nhân, an ninh. Dưới đây, chúng tôi thảo luận về kiến trúc tổng thể, các tính năng chính và tác động
về phát triển ứng dụng.
[99] được thiết kế để thực hiện an ninh đa cấp của Multics (MLS) yêu cầu [23], xem
Chương 3. Ý tưởng ban đầu là xây dựng một kernel an ninh và một giả lập để cho phép thực hiện
một hệ điều hành thông thường (UNIX), như đã được thực hiện bởi KSOS [198] và UCLA an toàn dữ liệu
hệ thống UNIX [248]. Sau khi hiệu suất và an ninh của các hệ thống mô phỏng như vậy đã được tìm thấy
là không đủ, một quyết định đã được thực hiện để xây dựng một ứng dụng giao diện mới cho Scomp cung cấp
các ứng dụng với sự an toàn cần thiết mà chạy với hiệu suất hợp lý.
Việc thực hiện một hệ thống chạy mô phỏng trên một an ninh hạt nhân bị ảnh hưởng bởi hai vấn đề. Đầu tiên,
các mô phỏng có thể liên quan đến việc chuyển đổi giữa các cơ quan đại diện không tương thích của hai hệ thống.
Ví dụ, UNIX I / O bản sao dữ liệu trực tiếp vào không gian địa chỉ của ứng dụng (ví dụ như, vào một tập tin hoặc
đánh giá 1The GEMSOS A1 là như là một phần của hệ thống Blacker.
78 CHƯƠNG 6. AN NINH HẠT NHÂN
mạng đọc), nhưng Scomp duy trì dữ liệu trong phân đoạn quản lý riêng rẽ mà truy cập phải
được ủy quyền. Kết quả là, thay vì nhận được một bộ đệm điền như trong UNIX, Scomp I / O cung cấp một
tham chiếu đến một phân khúc với dữ liệu. Thứ hai, các tính năng phần cứng của một hệ thống có thể không cung cấp
nguyên thủy hiệu quả cho các chức năng mô phỏng. Ví dụ, phần cứng Multics đã không cung cấp phần cứng
hỗ trợ cho các giao cắt vòng (tức là, quá trình chuyển đổi lĩnh vực bảo vệ), do đó phải được thực hiện trong
phần mềm với chi phí cao hơn.
Hơn nữa, hệ thống mô phỏng có thể bao gồm các cơ chế không an toàn đối với các
yêu cầu của hạt nhân, an ninh. Ví dụ, UNIX hỗ trợ việc chuyển file descriptor vào
hoạt động fork và exec. Do đó, một quá trình cha mẹ có thể bị rò rỉ dữ liệu cho đứa trẻ hoặc cung cấp
các phương tiện cho các con để rò rỉ dữ liệu riêng của mình. Vấn đề này phải được giải quyết trong các phiên bản bảo mật của
hệ điều hành thương mại, xem Chương 7, nhưng các nhà thiết kế Scomp cảm thấy những vấn đề tương tự và
bảo hành một ứng dụng giao diện mới. Cuộc xung đột giữa giao diện chức năng và làm thế nào để bảo đảm
chúng là nền tảng cho việc thiết kế các hệ thống an toàn.
Như một kết quả của các hoạt động và an ninh lo ngại, các nhà thiết kế Scomp phát triển không
chỉ là một hạt nhân an toàn, nhưng cũng cơ chế phần cứng mới và một giao diện ứng dụng mới cho viết
chương trình hạt nhân, an ninh. Dưới đây, chúng tôi thảo luận về kiến trúc tổng thể, các tính năng chính và tác động
về phát triển ứng dụng.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- which is involved in viral polyprotein p
- it is the same mudlarking
- 【絵里】ば……。ばっかじゃないの……ッ!!?
- tôi có một bữa tiệc sinh nhật vào chủ nh
- an issue with the measurement Abnormal 2
- INTRODUCTIONThe phytoplankton communitie
- Thực hiện các dữ liệu thành dạng biểu đồ
- bản đồ
- nhiệm vụ
- Acceptance testing is often the responsi
- formidable
- tôi thích ngắm hoàng hôn và bình minh ở
- a big old
- but still can not say much
- I really love you
- fallen down
- Many of us get a bit nervous when meetin
- vẻ bề ngoài không đánh giá được con ngườ
- Feeling the weight of the scent
- cá to
- The following equations describe the mat
- performer
- Đôi Khi Ra Cuộc Sống Cứ Phải Sống Tốt Lă
- có ánh sáng lấp lánh và âm thanh ở trong
