- Văn bản
- Lịch sử
In 1981, Rushby examined the diffic
In 1981, Rushby examined the difficulty of building security kernel systems, such as Scomp and GEMSOS discussed in Chapter 6. Rushby found that security kernel systems, despite their near-minimal trusted computing base, had a significant, uncontrolled reliance on trusted services. As a result, he defined an alternative approach that he called a separation kernel [259, 260].
In a multilevel (MLS) system, if any process can write data from a higher sensitivity level to a
lower sensitivity level, it violates the MLS policy (see the Bell-LaPadula policy [23] in Chapter 5).
However, some services are entrusted with such operations, such as inline encryption systems [259], that encrypt secret data and send it via public networks. Also, other services may be trusted to process data at multiple sensitivity levels with leakage, such as file and print servers. In an MLS system, such processes are simply trusted, and the MLS policy is not enforced on them. Rushby claimed that ensuring the correct behavior of trusted services of a security kernel system is too complex. In a general purpose system, we have a large number of trusted services, potentially complex interactions among trusted services, and a variety of interfaces accessible to untrusted processes. The SELinux system with its 30+ trusted programs is indicative of the number of trusted programs in a general-purpose system. The interactions among the resulting trusted processes are not clearly identified, but they are likely to be complex. Most dangerous of all is the number of ways that untrusted processes may invoke trusted programs. In minimal security kernel system, such as Scomp and GEMSOS, there were 30–40 gates defined to control such invocations. In a modern operating system, there are hundreds of system calls. Rushby’s solution is to treat each trusted program as one would a single node in a distributed system. For example, a file server node would be a single-purpose system attached to other systems via a single communication channel. If the “file server adheres to and enforces the multilevel security policy, the security of the rest of the system follows” [259]. That is, enforcement of system security goals can be composed from isolated elements that “adhere to and enforce” [259] those security goals.
Rushby coined the name of such a system as a separation kernel to distinguish it from a security
kernel.A separation kernel emphasizes independence and authorized communication. Each trusted
service runs in a isolated and independent system, perhaps on the same physical platform or perhaps not, and the services can only be accessed by a small number of mediated communication channels. The separation kernel is capable of complete mediation of such communication channels, such that the services could be isolated completely from the remainder of the system.
Rushby noted the similarity between the separation kernel concept and virtual machine systems,
as we described them above. The major distinction is that separation kernels do not require
that the separation kernel provide a virtualized hardware API, as a virtual machine monitor does. The trusted services in a separation kernel may be customized to a separation kernel system and
minimized (e.g., not run a guest operating system).With increasing popularity of paravirtualized
hypervisors, such as Xen [19], which require some awareness of running on a virtual machine monitor, and custom VMs as proposed for Terra [105], the line between a separation kernel and a virtual machine system is becoming blurrier each year.
A particular family of systems that implement the separation kernel approach are called
Multiple Independent Levels of Security (MILS) systems [131, 7, 193, 9].A MILS system architecture
In a multilevel (MLS) system, if any process can write data from a higher sensitivity level to a
lower sensitivity level, it violates the MLS policy (see the Bell-LaPadula policy [23] in Chapter 5).
However, some services are entrusted with such operations, such as inline encryption systems [259], that encrypt secret data and send it via public networks. Also, other services may be trusted to process data at multiple sensitivity levels with leakage, such as file and print servers. In an MLS system, such processes are simply trusted, and the MLS policy is not enforced on them. Rushby claimed that ensuring the correct behavior of trusted services of a security kernel system is too complex. In a general purpose system, we have a large number of trusted services, potentially complex interactions among trusted services, and a variety of interfaces accessible to untrusted processes. The SELinux system with its 30+ trusted programs is indicative of the number of trusted programs in a general-purpose system. The interactions among the resulting trusted processes are not clearly identified, but they are likely to be complex. Most dangerous of all is the number of ways that untrusted processes may invoke trusted programs. In minimal security kernel system, such as Scomp and GEMSOS, there were 30–40 gates defined to control such invocations. In a modern operating system, there are hundreds of system calls. Rushby’s solution is to treat each trusted program as one would a single node in a distributed system. For example, a file server node would be a single-purpose system attached to other systems via a single communication channel. If the “file server adheres to and enforces the multilevel security policy, the security of the rest of the system follows” [259]. That is, enforcement of system security goals can be composed from isolated elements that “adhere to and enforce” [259] those security goals.
Rushby coined the name of such a system as a separation kernel to distinguish it from a security
kernel.A separation kernel emphasizes independence and authorized communication. Each trusted
service runs in a isolated and independent system, perhaps on the same physical platform or perhaps not, and the services can only be accessed by a small number of mediated communication channels. The separation kernel is capable of complete mediation of such communication channels, such that the services could be isolated completely from the remainder of the system.
Rushby noted the similarity between the separation kernel concept and virtual machine systems,
as we described them above. The major distinction is that separation kernels do not require
that the separation kernel provide a virtualized hardware API, as a virtual machine monitor does. The trusted services in a separation kernel may be customized to a separation kernel system and
minimized (e.g., not run a guest operating system).With increasing popularity of paravirtualized
hypervisors, such as Xen [19], which require some awareness of running on a virtual machine monitor, and custom VMs as proposed for Terra [105], the line between a separation kernel and a virtual machine system is becoming blurrier each year.
A particular family of systems that implement the separation kernel approach are called
Multiple Independent Levels of Security (MILS) systems [131, 7, 193, 9].A MILS system architecture
0/5000
Năm 1981, Rushby kiểm tra khó khăn trong việc xây dựng bảo mật hệ thống hạt nhân, chẳng hạn như Scomp và GEMSOS thảo luận trong chương 6. Rushby thấy rằng hệ thống an ninh hạt nhân, mặc dù các căn cứ gần tối thiểu máy tính đáng tin cậy, có đáng kể, không kiểm soát được sự phụ thuộc vào dịch vụ đáng tin cậy. Kết quả là, ông định nghĩa một cách tiếp cận khác mà ông gọi là một tách hạt nhân [259, 260].Trong một hệ thống đa (MLS), nếu bất kỳ quá trình có thể ghi dữ liệu từ một mức độ nhạy cảm cao với mộtcấp độ nhạy thấp hơn, nó sẽ vi phạm chính sách MLS (xem chính sách Bell-LaPadula [23] trong chương 5).Tuy nhiên, một số dịch vụ được giao phó với các hoạt động, chẳng hạn như inline hệ thống mã hóa [259], mà mã hóa dữ liệu bí mật và gửi qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý các dữ liệu ở nhiều cấp độ nhạy cảm với sự rò rỉ, chẳng hạn như tập tin và in các máy chủ. Hệ thống MLS, các quá trình được chỉ đơn giản là đáng tin cậy, và chính sách MLS không được áp dụng vào chúng. Rushby tuyên bố rằng việc đảm bảo chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống an ninh hạt nhân là quá phức tạp. Trong một hệ thống chung mục đích, chúng tôi có một số lớn các dịch vụ đáng tin cậy, các tương tác phức tạp có khả năng trong số các dịch vụ đáng tin cậy, và một loạt các giao diện dễ tiếp cận với quá trình không đáng tin cậy. Hệ thống SELinux với 30 + tin cậy chương trình là chỉ số đáng tin cậy chương trình trong một hệ thống đa năng. Sự tương tác giữa các quá trình đáng tin cậy kết quả rõ ràng không được xác định, nhưng họ có khả năng được phức tạp. Nguy hiểm nhất của tất cả là một số cách mà không đáng tin cậy quy trình có thể gọi các chương trình đáng tin cậy. Trong hệ thống hạt nhân an ninh tối thiểu, chẳng hạn như Scomp và GEMSOS, đã có 30 – 40 cửa được xác định để kiểm soát như vậy invocations. Trong một hệ điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp của Rushby là để điều trị mỗi chương trình đáng tin cậy như một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ tập tin sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh liên lạc duy nhất. Nếu "máy chủ tập tin tuân thủ và thi hành chính sách đa an ninh, bảo mật của phần còn lại của hệ thống sau" [259]. Có nghĩa là, bao gồm thực thi hệ thống an ninh mục tiêu từ cô lập các yếu tố "tuân thủ và thực thi" [259] những mục tiêu an ninh.Rushby đã đặt ra cái tên của một hệ thống như một tách hạt nhân để phân biệt nó từ một bảo mậthạt nhân. Một tách hạt nhân nhấn mạnh nền độc lập và được ủy quyền giao tiếp. Mỗi người tin cậyDịch vụ chạy trong một hệ thống bị cô lập và độc lập, có lẽ trên nền tảng vật lý cùng hay có lẽ không, và các dịch vụ chỉ có thể được truy cập bởi một số kênh truyền thông trung gian. Tách hạt nhân có khả năng hoàn thành hòa giải của các kênh truyền thông, như vậy mà các dịch vụ có thể được cô lập hoàn toàn từ phần còn lại của hệ thống.Rushby lưu ý sự tương đồng giữa tách hạt nhân khái niệm và hệ thống máy ảo,như chúng tôi mô tả chúng ở trên. Sự khác biệt chính là rằng tách hạt nhân không yêu cầumà tách hạt nhân cung cấp một phần cứng HĐH API, như một màn hình máy ảo. Các dịch vụ đáng tin cậy trong một tách hạt nhân có thể được tùy chỉnh cho một hệ thống phân tách hạt nhân vàgiảm thiểu tối đa (ví dụ, không phải chạy một hệ điều hành đánh). Với sự gia tăng phổ biến của paravirtualizedhypervisors, chẳng hạn như Xen [19], mà yêu cầu một số nhận thức của chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], dòng giữa một tách hạt nhân và một hệ thống máy ảo đang trở thành blurrier mỗi năm.Một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi làNhiều các hệ thống độc lập cấp số an ninh (MILS) [131, 7, 193, 9]. Một kiến trúc hệ thống MILS
đang được dịch, vui lòng đợi..
Năm 1981, Rushby đã kiểm tra khó khăn của hệ thống an ninh tòa nhà hạt nhân, chẳng hạn như Scomp và GEMSOS thảo luận trong Chương 6. Rushby thấy rằng các hệ thống hạt nhân an toàn, mặc dù cơ sở tính toán đáng tin cậy gần như tối thiểu của họ, có một ý nghĩa, sự phụ thuộc không kiểm soát được các dịch vụ đáng tin cậy. Kết quả là, ông định nghĩa một phương pháp khác mà ông gọi là một hạt nhân tách [259, 260].
Trong một hệ thống đa cấp (MLS), nếu quá trình nào có thể ghi dữ liệu từ một mức độ nhạy cảm cao với một
mức độ nhạy thấp hơn, nó vi phạm MLS chính sách (xem chính sách Bell-LaPadula [23] trong chương 5).
Tuy nhiên, một số dịch vụ được giao phó với các hoạt động như vậy, chẳng hạn như hệ thống mã hóa nội tuyến [259], đó mã hóa dữ liệu bí mật và gửi nó qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý dữ liệu ở nhiều cấp độ nhạy cảm với rò rỉ, chẳng hạn như tập tin và in các máy chủ. Trong một hệ thống MLS, quá trình như vậy chỉ đơn giản là đáng tin cậy, và các chính sách MLS không được thực thi trên chúng. Rushby tuyên bố rằng việc đảm bảo sự chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống hạt nhân bảo mật là quá phức tạp. Trong một hệ thống mục đích chung, chúng tôi có một số lượng lớn các dịch vụ đáng tin cậy, có khả năng tương tác phức tạp giữa các dịch vụ đáng tin cậy, và một loạt các giao diện truy cập vào các quá trình không tin cậy. Các hệ thống với hơn 30 chương trình tin cậy của nó SELinux là biểu hiện của số chương trình đáng tin cậy trong một hệ thống có mục đích chung. Sự tương tác giữa các quá trình kết quả đáng tin cậy không được xác định rõ ràng, nhưng họ có thể sẽ phức tạp. Nguy hiểm nhất của tất cả là số cách mà các quá trình không tin cậy có thể gọi chương trình đáng tin cậy. Trong hệ thống hạt nhân an toàn tối thiểu, chẳng hạn như Scomp và GEMSOS, có 30-40 cửa quy định để kiểm soát các viện dẫn như vậy. Trong một hệ thống điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp Rushby là để chữa trị cho mỗi chương trình đáng tin cậy như một sẽ là một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ file sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh truyền thông duy nhất. Nếu các "máy chủ tập tin tuân thủ và thực thi các chính sách an ninh đa cấp, an ninh của phần còn lại của hệ thống sau" [259]. Đó là, thực thi các mục tiêu an ninh hệ thống có thể được cấu tạo từ các nguyên tố bị cô lập mà "tuân thủ và thực thi" [259] những mục tiêu an ninh.
Rushby đặt ra tên của một hệ thống như một hạt nhân tách để phân biệt nó từ một an ninh
kernel.A tách hạt nhân nhấn mạnh sự độc lập và truyền thông có thẩm quyền. Mỗi tin cậy
dịch vụ chạy trong một hệ thống riêng biệt và độc lập, có lẽ trên nền tảng vật lý như nhau hoặc có thể không, và các dịch vụ chỉ có thể được truy cập bởi một số lượng nhỏ của các kênh truyền thông qua trung gian. Các hạt nhân tách có khả năng hòa giải hoàn toàn của các kênh truyền thông như vậy, như là các dịch vụ có thể được cô lập hoàn toàn với phần còn lại của hệ thống.
Rushby ghi nhận sự giống nhau giữa các khái niệm tách hạt nhân và hệ thống máy ảo,
như chúng ta đã mô tả chúng ở trên. Sự khác biệt chính là hạt nhân tách không yêu cầu
rằng hạt nhân tách cung cấp một API phần cứng ảo hóa, như một màn hình máy ảo không. Các dịch vụ đáng tin cậy trong một hạt nhân phân tách có thể được tùy chỉnh để một hệ thống tách hạt nhân và
giảm thiểu (ví dụ, không phải chạy một hệ điều hành khách) .Với tăng phổ biến của paravirtualized
siêu giám sát, chẳng hạn như Xen [19], trong đó yêu cầu một số nhận thức về chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], ranh giới giữa một hạt nhân tách và một hệ thống máy ảo đang trở thành blurrier mỗi năm.
một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi là
nhiều trình độ độc lập về an ninh (mils) hệ thống [131, 7, 193, 9] kiến trúc hệ thống .A mils
Trong một hệ thống đa cấp (MLS), nếu quá trình nào có thể ghi dữ liệu từ một mức độ nhạy cảm cao với một
mức độ nhạy thấp hơn, nó vi phạm MLS chính sách (xem chính sách Bell-LaPadula [23] trong chương 5).
Tuy nhiên, một số dịch vụ được giao phó với các hoạt động như vậy, chẳng hạn như hệ thống mã hóa nội tuyến [259], đó mã hóa dữ liệu bí mật và gửi nó qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý dữ liệu ở nhiều cấp độ nhạy cảm với rò rỉ, chẳng hạn như tập tin và in các máy chủ. Trong một hệ thống MLS, quá trình như vậy chỉ đơn giản là đáng tin cậy, và các chính sách MLS không được thực thi trên chúng. Rushby tuyên bố rằng việc đảm bảo sự chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống hạt nhân bảo mật là quá phức tạp. Trong một hệ thống mục đích chung, chúng tôi có một số lượng lớn các dịch vụ đáng tin cậy, có khả năng tương tác phức tạp giữa các dịch vụ đáng tin cậy, và một loạt các giao diện truy cập vào các quá trình không tin cậy. Các hệ thống với hơn 30 chương trình tin cậy của nó SELinux là biểu hiện của số chương trình đáng tin cậy trong một hệ thống có mục đích chung. Sự tương tác giữa các quá trình kết quả đáng tin cậy không được xác định rõ ràng, nhưng họ có thể sẽ phức tạp. Nguy hiểm nhất của tất cả là số cách mà các quá trình không tin cậy có thể gọi chương trình đáng tin cậy. Trong hệ thống hạt nhân an toàn tối thiểu, chẳng hạn như Scomp và GEMSOS, có 30-40 cửa quy định để kiểm soát các viện dẫn như vậy. Trong một hệ thống điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp Rushby là để chữa trị cho mỗi chương trình đáng tin cậy như một sẽ là một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ file sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh truyền thông duy nhất. Nếu các "máy chủ tập tin tuân thủ và thực thi các chính sách an ninh đa cấp, an ninh của phần còn lại của hệ thống sau" [259]. Đó là, thực thi các mục tiêu an ninh hệ thống có thể được cấu tạo từ các nguyên tố bị cô lập mà "tuân thủ và thực thi" [259] những mục tiêu an ninh.
Rushby đặt ra tên của một hệ thống như một hạt nhân tách để phân biệt nó từ một an ninh
kernel.A tách hạt nhân nhấn mạnh sự độc lập và truyền thông có thẩm quyền. Mỗi tin cậy
dịch vụ chạy trong một hệ thống riêng biệt và độc lập, có lẽ trên nền tảng vật lý như nhau hoặc có thể không, và các dịch vụ chỉ có thể được truy cập bởi một số lượng nhỏ của các kênh truyền thông qua trung gian. Các hạt nhân tách có khả năng hòa giải hoàn toàn của các kênh truyền thông như vậy, như là các dịch vụ có thể được cô lập hoàn toàn với phần còn lại của hệ thống.
Rushby ghi nhận sự giống nhau giữa các khái niệm tách hạt nhân và hệ thống máy ảo,
như chúng ta đã mô tả chúng ở trên. Sự khác biệt chính là hạt nhân tách không yêu cầu
rằng hạt nhân tách cung cấp một API phần cứng ảo hóa, như một màn hình máy ảo không. Các dịch vụ đáng tin cậy trong một hạt nhân phân tách có thể được tùy chỉnh để một hệ thống tách hạt nhân và
giảm thiểu (ví dụ, không phải chạy một hệ điều hành khách) .Với tăng phổ biến của paravirtualized
siêu giám sát, chẳng hạn như Xen [19], trong đó yêu cầu một số nhận thức về chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], ranh giới giữa một hạt nhân tách và một hệ thống máy ảo đang trở thành blurrier mỗi năm.
một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi là
nhiều trình độ độc lập về an ninh (mils) hệ thống [131, 7, 193, 9] kiến trúc hệ thống .A mils
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Our M10s are fast and pack a punch, but
- Xin lỗi vì đã làm phiền
- ERP systems support the core business pr
- - Kích thước lò xo được xác định tiêu ch
- 이 방에 2사업장 인력은모두 나가세요ㆍ
- nothing can't be
- IV.ĐIỀU KHIỂN HỆ THỐNG ĐẨY
- In the process of searching and download
- Henri Fayol (Istanbul, 29 July 1841 – Pa
- em thích anh
- NHIỆM VỤ, YÊU CẦU KỸ THUẬT
- she geted out of the bath
- sinh nhật vui vẻ a yêu
- Motivation theories are often culture-bo
- How is a diagnosis established? First, t
- Assess:Localized situations
- Hiện nay không còn là năm tiêu chí đánh
- retention
- Chế độ ăn uống của họ khắt khe không kém
- She looks at Kumud and says I see lies d
- PRIVATE LIVESBy Diane DanielFrom the St.
- tôi là sinh viên năm thứ 4
- chúng ta có thể mang chúng đến bất kỳ đâ
- PRIVATE LIVESBy Diane DanielFrom the St.
