- Văn bản
- Lịch sử
The major technical insight that em
The major technical insight that emerged at this time was that a secure operating system needed
a small, verifiably correct foundation upon which the security of the system can be derived. This foundation was called a security kernel [108]. A security kernel is defined as the hardware and software necessary to realize the reference monitor abstraction [10].Asecurity kernel design includes hardware mechanisms leveraged by a minimal, software trusted computing base (TCB) to achieve
the reference monitor concept guarantees of tamperproofing, complete mediation, and verifiability
(see Definition 2.6).
The first security kernel was prototyped by MITRE in 1974. It directly managed the system’s
physical resources with less than 20 subroutines in less than 1000 source lines of code. In addition to identifying what is necessary to build a security kernel that implements a reference monitor, this experience and the Multics experience indicated how a security kernel should be built.While mediation and tamperproofing are fundamental to the design of a security kernel, in building a security kernel the focus became verification. Three core principles emerged [10]. First, a security kernel has to implement a specific security policy, as it can only be verified as being secure with respect to some specific security goals.A security goal policy (e.g., based on information flow, see Chapter 5) must be defined in a mandatory protection system (see Definition 2.4) to enable verification. Second,
the design of the security kernel must define a verifiable protection behavior of the system as a whole. That is, the system mechanisms must be comprehensively assessed to verify that they implement the desired security goals. This must be in the context of the security kernel’s specified security policy. Third, the implementation of the kernel must be shown to be faithful to the security model’s design.While a mathematical formalism may describe the design of the security kernel and enable its formal verification, the implementation of the security kernel in source code must not invalidate the principles established in the design.
Thus, the design and implementation of security kernels focused on the design of hardware, a minimal kernel, and supporting trusted services that could be verified to implement a specific
security policy, multilevel security. While Multics had been designed to implement security on a
particular hardware platform, the design of security kernels included the design of hardware that would enable efficient mediation of all accesses. The design of security kernel operating systems leverages this hardware to provide a small number of mechanism necessary to enforce multilevel security. Finally, some trusted services are identified, such as file systems and process management, that are necessary to build a functional system.
The primary goal of most security kernel efforts became verification that the source level
implementation satisfies the reference monitor concept. This motivated the exploration of formal
and semi-formal methods for verifying that a design implemented the intended security goals and for verifying that a resultant source code implementation satisfied the verified design. AsTuring showed that no general algorithm can show that any program satisfies a particular property (e.g., halts or is secure), such security verification must be customized to the individual systems and designs. The work in security kernel verification motivated the subsequent methodologies for system security assurance (see Chapter 12. The optimistic hope that formal tools would be developed that could automatically support formal assurance has not been fulfilled, but nonetheless assurance is still the most practical means known to ensure that a system implements a security goal. Verification that an implementation correctly enforces a system’s security goals goes far beyond verifying the authorization mechanisms are implemented correctly.The system implementationmust be verified to ensure that all system resource mechanisms (see Chapter 1) are not vulnerable to attack.
As computing hardware is complex, assurance of correct use of hardware for implementing system
resources is nontrivial. Consider the memory system.A hardware component called the Translation
Lookaside Buffer (TLB) holds a cache of mappings from virtual memory pages to their physical
memory counterparts. If an attacker can modify these mappings they may be able to compromise
the secrecy and integrity of system and user application data. Depending on the system architecture, TLBs may be filled by hardware or software. For hardware-filled TLBs, the system implementation must ensure that the page table entries used to fill the TLB cannot be modified by attackers. For software-filled TLBs, the refill code and data used by the code must be isolated from any attacker behavior.
a small, verifiably correct foundation upon which the security of the system can be derived. This foundation was called a security kernel [108]. A security kernel is defined as the hardware and software necessary to realize the reference monitor abstraction [10].Asecurity kernel design includes hardware mechanisms leveraged by a minimal, software trusted computing base (TCB) to achieve
the reference monitor concept guarantees of tamperproofing, complete mediation, and verifiability
(see Definition 2.6).
The first security kernel was prototyped by MITRE in 1974. It directly managed the system’s
physical resources with less than 20 subroutines in less than 1000 source lines of code. In addition to identifying what is necessary to build a security kernel that implements a reference monitor, this experience and the Multics experience indicated how a security kernel should be built.While mediation and tamperproofing are fundamental to the design of a security kernel, in building a security kernel the focus became verification. Three core principles emerged [10]. First, a security kernel has to implement a specific security policy, as it can only be verified as being secure with respect to some specific security goals.A security goal policy (e.g., based on information flow, see Chapter 5) must be defined in a mandatory protection system (see Definition 2.4) to enable verification. Second,
the design of the security kernel must define a verifiable protection behavior of the system as a whole. That is, the system mechanisms must be comprehensively assessed to verify that they implement the desired security goals. This must be in the context of the security kernel’s specified security policy. Third, the implementation of the kernel must be shown to be faithful to the security model’s design.While a mathematical formalism may describe the design of the security kernel and enable its formal verification, the implementation of the security kernel in source code must not invalidate the principles established in the design.
Thus, the design and implementation of security kernels focused on the design of hardware, a minimal kernel, and supporting trusted services that could be verified to implement a specific
security policy, multilevel security. While Multics had been designed to implement security on a
particular hardware platform, the design of security kernels included the design of hardware that would enable efficient mediation of all accesses. The design of security kernel operating systems leverages this hardware to provide a small number of mechanism necessary to enforce multilevel security. Finally, some trusted services are identified, such as file systems and process management, that are necessary to build a functional system.
The primary goal of most security kernel efforts became verification that the source level
implementation satisfies the reference monitor concept. This motivated the exploration of formal
and semi-formal methods for verifying that a design implemented the intended security goals and for verifying that a resultant source code implementation satisfied the verified design. AsTuring showed that no general algorithm can show that any program satisfies a particular property (e.g., halts or is secure), such security verification must be customized to the individual systems and designs. The work in security kernel verification motivated the subsequent methodologies for system security assurance (see Chapter 12. The optimistic hope that formal tools would be developed that could automatically support formal assurance has not been fulfilled, but nonetheless assurance is still the most practical means known to ensure that a system implements a security goal. Verification that an implementation correctly enforces a system’s security goals goes far beyond verifying the authorization mechanisms are implemented correctly.The system implementationmust be verified to ensure that all system resource mechanisms (see Chapter 1) are not vulnerable to attack.
As computing hardware is complex, assurance of correct use of hardware for implementing system
resources is nontrivial. Consider the memory system.A hardware component called the Translation
Lookaside Buffer (TLB) holds a cache of mappings from virtual memory pages to their physical
memory counterparts. If an attacker can modify these mappings they may be able to compromise
the secrecy and integrity of system and user application data. Depending on the system architecture, TLBs may be filled by hardware or software. For hardware-filled TLBs, the system implementation must ensure that the page table entries used to fill the TLB cannot be modified by attackers. For software-filled TLBs, the refill code and data used by the code must be isolated from any attacker behavior.
0/5000
Sự thấu hiểu kỹ thuật lớn xuất hiện tại thời điểm này là một hệ điều hành an toàn cần thiếtmột nền tảng nhỏ, verifiably đúng khi mà sự bảo mật của hệ thống có thể được bắt nguồn. Nền tảng này được gọi là an ninh hạt nhân [108]. An ninh hạt nhân được định nghĩa là các phần cứng và phần mềm cần thiết để nhận ra các trừu tượng màn hình tham khảo [10]. Asecurity hạt nhân thiết kế bao gồm cơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm đáng tin cậy cơ sở máy tính (TCB) để đạt đượckhái niệm màn hình tham khảo đảm bảo tamperproofing, hoàn toàn hòa giải và verifiability(xem định nghĩa 2.6).Hạt nhân đầu tiên của an ninh vào prototyped của MITRE năm 1974. Nó trực tiếp quản lý của hệ thốngvật lý tài nguyên với ít hơn 20 subroutines ở hơn 1.000 nguồn dòng mã. Ngoài việc xác định những gì là cần thiết để xây dựng một hạt nhân an ninh thực hiện một màn hình tham khảo, kinh nghiệm và kinh nghiệm của Multics chỉ ra làm thế nào một hạt nhân bảo mật cần được xây dựng. Trong khi trung gian hòa giải và tamperproofing là cơ bản để thiết kế một hạt nhân an ninh, xây dựng một hạt nhân an ninh tập trung trở thành xác minh. Ba nguyên tắc cốt lõi đã nổi lên [10]. Đầu tiên, một hạt nhân an ninh đã thực hiện một chính sách bảo mật cụ thể, như nó chỉ có thể được kiểm chứng là an toàn đối với một số mục tiêu cụ thể bảo mật. Một mục tiêu chính sách bảo mật (ví dụ, dựa trên dòng chảy thông tin, xem chương 5) phải được xác định trong một hệ thống bảo vệ bắt buộc (xem định nghĩa 2.4) để kích hoạt quy trình xác minh. Thứ hai,thiết kế an ninh hạt nhân phải xác định một hành vi kiểm chứng bảo vệ của hệ thống như một toàn thể. Đó là, các cơ chế hệ thống phải được đánh giá toàn diện để xác minh rằng họ thực hiện các mục tiêu mong muốn bảo mật. Điều này phải trong bối cảnh chính sách quy định an ninh hạt nhân an toàn. Thứ ba, việc thực hiện các hạt nhân phải được thể hiện trung thành với thiết kế mô hình bảo mật. Trong khi một hình thức toán học có thể mô tả việc thiết kế các hạt nhân an toàn và cho phép xác minh chính thức của nó, việc thực hiện an ninh hạt nhân trong mã nguồn không phải làm vô hiệu các nguyên tắc thành lập trong thiết kế.Vì vậy, việc thiết kế và thực hiện an ninh hạt nhân tập trung vào việc thiết kế phần cứng, một hạt nhân tối thiểu và hỗ trợ các dịch vụ đáng tin cậy có thể được kiểm chứng để thực hiện một cụ thểchính sách an ninh, bảo mật đa. Trong khi Multics đã được thiết kế để thực hiện an ninh trên mộtnền tảng phần cứng cụ thể, thiết kế an ninh hạt nhân bao gồm thiết kế phần cứng mà sẽ cho phép trung gian hòa giải hiệu quả của tất cả các đường dẫn truy cập. Thiết kế an ninh hạt nhân điều hành hệ thống thúc đẩy phần cứng này để cung cấp một số ít các cơ chế cần thiết để thi hành đa cấp an ninh. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như tập tin hệ thống và quy trình quản lý, đó là cần thiết để xây dựng một hệ thống chức năng.Mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng nguồn cấpthực hiện thỏa mãn khái niệm màn hình tham khảo. Điều này thúc đẩy thăm dò của chính thứcvà phương pháp bán chính thức xác nhận rằng một thiết kế triển khai thực hiện các mục tiêu dự định an ninh và xác minh rằng một thực hiện mã nguồn kết quả hài lòng thiết kế đã được xác minh. AsTuring đã cho thấy rằng không có thuật toán chung có thể hiển thị bất kỳ chương trình đáp ứng một tài sản cụ thể (ví dụ: halts hay an toàn), như xác minh bảo mật phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. An ninh hạt nhân quy trình xác minh làm việc thúc đẩy các phương pháp tiếp theo cho hệ thống an ninh bảo đảm (xem chương 12. Hy vọng lạc quan rằng công cụ chính thức sẽ được phát triển tự động có thể hỗ trợ chính thức đảm bảo đã không được hoàn thành, nhưng dù sao bảo đảm vẫn có nghĩa là thực tế nhất được biết đến để đảm bảo một hệ thống thực hiện một mục tiêu an ninh. Xác minh rằng việc thực hiện một cách chính xác thi hành một hệ thống an ninh mục tiêu vượt xa để xác minh các cơ chế ủy quyền thực hiện một cách chính xác. Implementationmust hệ thống được kiểm chứng để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không dễ bị tấn công. Như máy tính phần cứng rất phức tạp, bảo đảm sử dụng đúng phần cứng cho việc thực hiện hệ thốngtài nguyên là nontrivial. Xem xét hệ thống bộ nhớ. Một thành phần phần cứng được gọi là bản dịchLookaside đệm (TLB) nắm giữ một bộ nhớ cache của ánh xạ từ các trang bộ nhớ ảo để thể chất của họđối tác bộ nhớ. Nếu một kẻ tấn công có thể sửa đổi các ánh xạ mà họ có thể được thỏa hiệpbí mật và tính toàn vẹn của dữ liệu ứng dụng hệ thống và người sử dụng. Tùy thuộc vào kiến trúc hệ thống, TLBs có thể được lấp đầy bởi phần cứng hoặc phần mềm. Cho phần cứng đầy TLBs, thực hiện hệ thống phải đảm bảo rằng các trang bảng mục được sử dụng để điền vào TLB không thể sửa đổi bởi những kẻ tấn công. Đối với phần mềm đầy đủ TLBs, dữ liệu được sử dụng bởi các mã và mã số nạp tiền phải được phân lập từ bất kỳ hành vi của kẻ tấn công.
đang được dịch, vui lòng đợi..
Sự thấu hiểu kỹ thuật chủ yếu nổi lên vào thời điểm này là một hệ điều hành an toàn cần thiết
một nhỏ, nền tảng verifiably đúng khi mà sự an toàn của hệ thống có thể được bắt nguồn. Nền tảng này được gọi là một hạt nhân an toàn [108]. Một hạt nhân an ninh được định nghĩa như là phần cứng và phần mềm cần thiết để nhận ra sự trừu tượng màn hình tham khảo [10] thiết kế .Asecurity hạt nhân bao gồm các cơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm đáng tin cậy cơ sở tính toán (TCB) để đạt được
sự đảm bảo màn hình tham khảo khái niệm tamperproofing, hoàn chỉnh hòa giải, và kiểm chứng
(xem Định nghĩa 2.6).
các hạt nhân bảo mật đầu tiên được tạo nguyên mẫu của MITRE vào năm 1974. Nó được quản lý trực tiếp của hệ thống
nguồn lực vật chất với ít hơn 20 chương trình con trong ít hơn 1.000 dòng mã nguồn mã. Ngoài việc xác định những gì là cần thiết để xây dựng một hạt nhân an ninh mà thực hiện một màn hình tham khảo, kinh nghiệm và kinh nghiệm Multics chỉ ra cách một hạt nhân an ninh nên built.While hòa giải và tamperproofing là nền tảng cho các thiết kế của một hạt nhân an ninh, xây dựng một hạt nhân an ninh tập trung đã trở thành xác minh. Ba nguyên tắc cốt lõi nổi lên [10]. Đầu tiên, một hạt nhân an ninh phải thực hiện một chính sách bảo mật cụ thể, vì nó chỉ có thể được xác minh là an toàn đối với một số bảo mật cụ thể chính sách mục tiêu an ninh goals.A với (ví dụ, dựa trên dòng chảy thông tin, xem Chương 5) phải được xác định trong một hệ thống bảo vệ bắt buộc (xem Định nghĩa 2.4) cho phép xác minh. Thứ hai,
các thiết kế của hạt nhân an ninh phải xác định một hành vi bảo vệ kiểm chứng của hệ thống như một toàn thể. Đó là, các cơ chế hệ thống phải được đánh giá một cách toàn diện để xác minh rằng họ thực hiện các mục tiêu an ninh mong muốn. Điều này phải là trong bối cảnh chính sách an ninh quy định hạt nhân an ninh. Thứ ba, việc thực hiện của các hạt nhân phải được thể hiện là trung thành với design.While các mô hình bảo mật của một hình thức toán học có thể mô tả thiết kế của hạt nhân an toàn và cho phép xác minh chính thức của nó, việc thực hiện của hạt nhân an ninh trong mã nguồn không phải mất hiệu lực nguyên tắc thành lập trong thiết kế.
Vì vậy, việc thiết kế và thực hiện các hạt nhân an ninh tập trung vào việc thiết kế phần cứng, một hạt nhân tối thiểu, và duy trì chế dịch vụ có thể được xác nhận để thực hiện một cụ đáng tin cậy
chính sách bảo mật, an ninh đa cấp. Trong khi Multics đã được thiết kế để thực hiện bảo mật trên một
nền tảng phần cứng đặc biệt, thiết kế của hạt nhân an ninh bao gồm các thiết kế của phần cứng mà sẽ cho phép hòa giải hiệu quả của tất cả các truy cập. Việc thiết kế các hệ thống điều hành hạt nhân an ninh thúc đẩy phần cứng này để cung cấp một số lượng nhỏ các cơ chế cần thiết để thực thi bảo mật đa. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như các hệ thống tập tin và quản lý quá trình, đó là cần thiết để xây dựng một hệ thống chức năng.
Các mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng mức độ nguồn
thực hiện đủ các khái niệm màn hình tham khảo. Điều này thúc đẩy việc thăm dò chính thức
phương pháp và bán chính thức xác minh rằng một thiết kế thực hiện các mục tiêu an ninh dự định và xác minh rằng một kết quả mã nguồn thực hiện hoàn thành các thiết kế xác minh. AsTuring cho thấy rằng không có thuật toán nói chung có thể thấy bất kỳ chương trình đáp ứng được một tài sản cụ thể (ví dụ, ngừng hoặc là an toàn), xác minh an ninh phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. Công việc xác minh hạt nhân an ninh thúc đẩy các phương pháp sau để đảm bảo an ninh hệ thống (xem Chương 12. Hy vọng lạc quan rằng các công cụ chính thức sẽ được phát triển để có thể tự động hỗ trợ bảo đảm chính thức đã không được thực hiện, nhưng dù sao đảm bảo vẫn là phương tiện thiết thực nhất được biết đến đảm bảo hệ thống thực hiện một mục tiêu an ninh. xác nhận rằng một thực hiện thực thi một cách chính xác các mục tiêu an ninh của hệ thống vượt xa xác minh cơ chế ủy quyền được thực hiện hệ thống correctly.The implementationmust được kiểm tra để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không phải là dễ bị tổn thương để tấn công.
Như phần cứng máy tính là phức tạp, bảo đảm sử dụng đúng của phần cứng để thực hiện hệ thống
tài nguyên là không tầm thường. Hãy xem xét các thành phần bộ nhớ phần cứng system.A gọi là dịch
Lookaside Buffer (TLB) nắm giữ một bộ nhớ cache của các ánh xạ từ các trang bộ nhớ ảo về vật lý của họ
đối tác nhớ. Nếu kẻ tấn công có thể sửa đổi các ánh xạ họ có thể thỏa hiệp
sự bảo mật và tính toàn vẹn của hệ thống và các ứng dụng dữ liệu người dùng. Tùy thuộc vào kiến trúc hệ thống, TLBs có thể được lấp đầy bởi phần cứng hay phần mềm. Đối với TLBs phần cứng đầy, việc thực hiện hệ thống phải đảm bảo rằng các bảng mục trang được sử dụng để điền vào các TLB không thể được sửa đổi bởi kẻ tấn công. Đối với phần mềm TLBs-điền, mã nạp tiền và dữ liệu được sử dụng bởi các mã phải được phân lập từ bất cứ hành vi tấn công.
một nhỏ, nền tảng verifiably đúng khi mà sự an toàn của hệ thống có thể được bắt nguồn. Nền tảng này được gọi là một hạt nhân an toàn [108]. Một hạt nhân an ninh được định nghĩa như là phần cứng và phần mềm cần thiết để nhận ra sự trừu tượng màn hình tham khảo [10] thiết kế .Asecurity hạt nhân bao gồm các cơ chế phần cứng thừa hưởng bởi một tối thiểu, phần mềm đáng tin cậy cơ sở tính toán (TCB) để đạt được
sự đảm bảo màn hình tham khảo khái niệm tamperproofing, hoàn chỉnh hòa giải, và kiểm chứng
(xem Định nghĩa 2.6).
các hạt nhân bảo mật đầu tiên được tạo nguyên mẫu của MITRE vào năm 1974. Nó được quản lý trực tiếp của hệ thống
nguồn lực vật chất với ít hơn 20 chương trình con trong ít hơn 1.000 dòng mã nguồn mã. Ngoài việc xác định những gì là cần thiết để xây dựng một hạt nhân an ninh mà thực hiện một màn hình tham khảo, kinh nghiệm và kinh nghiệm Multics chỉ ra cách một hạt nhân an ninh nên built.While hòa giải và tamperproofing là nền tảng cho các thiết kế của một hạt nhân an ninh, xây dựng một hạt nhân an ninh tập trung đã trở thành xác minh. Ba nguyên tắc cốt lõi nổi lên [10]. Đầu tiên, một hạt nhân an ninh phải thực hiện một chính sách bảo mật cụ thể, vì nó chỉ có thể được xác minh là an toàn đối với một số bảo mật cụ thể chính sách mục tiêu an ninh goals.A với (ví dụ, dựa trên dòng chảy thông tin, xem Chương 5) phải được xác định trong một hệ thống bảo vệ bắt buộc (xem Định nghĩa 2.4) cho phép xác minh. Thứ hai,
các thiết kế của hạt nhân an ninh phải xác định một hành vi bảo vệ kiểm chứng của hệ thống như một toàn thể. Đó là, các cơ chế hệ thống phải được đánh giá một cách toàn diện để xác minh rằng họ thực hiện các mục tiêu an ninh mong muốn. Điều này phải là trong bối cảnh chính sách an ninh quy định hạt nhân an ninh. Thứ ba, việc thực hiện của các hạt nhân phải được thể hiện là trung thành với design.While các mô hình bảo mật của một hình thức toán học có thể mô tả thiết kế của hạt nhân an toàn và cho phép xác minh chính thức của nó, việc thực hiện của hạt nhân an ninh trong mã nguồn không phải mất hiệu lực nguyên tắc thành lập trong thiết kế.
Vì vậy, việc thiết kế và thực hiện các hạt nhân an ninh tập trung vào việc thiết kế phần cứng, một hạt nhân tối thiểu, và duy trì chế dịch vụ có thể được xác nhận để thực hiện một cụ đáng tin cậy
chính sách bảo mật, an ninh đa cấp. Trong khi Multics đã được thiết kế để thực hiện bảo mật trên một
nền tảng phần cứng đặc biệt, thiết kế của hạt nhân an ninh bao gồm các thiết kế của phần cứng mà sẽ cho phép hòa giải hiệu quả của tất cả các truy cập. Việc thiết kế các hệ thống điều hành hạt nhân an ninh thúc đẩy phần cứng này để cung cấp một số lượng nhỏ các cơ chế cần thiết để thực thi bảo mật đa. Cuối cùng, một số dịch vụ đáng tin cậy được xác định, chẳng hạn như các hệ thống tập tin và quản lý quá trình, đó là cần thiết để xây dựng một hệ thống chức năng.
Các mục tiêu chính của hầu hết các nỗ lực hạt nhân an ninh đã trở thành xác minh rằng mức độ nguồn
thực hiện đủ các khái niệm màn hình tham khảo. Điều này thúc đẩy việc thăm dò chính thức
phương pháp và bán chính thức xác minh rằng một thiết kế thực hiện các mục tiêu an ninh dự định và xác minh rằng một kết quả mã nguồn thực hiện hoàn thành các thiết kế xác minh. AsTuring cho thấy rằng không có thuật toán nói chung có thể thấy bất kỳ chương trình đáp ứng được một tài sản cụ thể (ví dụ, ngừng hoặc là an toàn), xác minh an ninh phải được tùy chỉnh để các hệ thống cá nhân và thiết kế. Công việc xác minh hạt nhân an ninh thúc đẩy các phương pháp sau để đảm bảo an ninh hệ thống (xem Chương 12. Hy vọng lạc quan rằng các công cụ chính thức sẽ được phát triển để có thể tự động hỗ trợ bảo đảm chính thức đã không được thực hiện, nhưng dù sao đảm bảo vẫn là phương tiện thiết thực nhất được biết đến đảm bảo hệ thống thực hiện một mục tiêu an ninh. xác nhận rằng một thực hiện thực thi một cách chính xác các mục tiêu an ninh của hệ thống vượt xa xác minh cơ chế ủy quyền được thực hiện hệ thống correctly.The implementationmust được kiểm tra để đảm bảo rằng tất cả các cơ chế tài nguyên hệ thống (xem chương 1) không phải là dễ bị tổn thương để tấn công.
Như phần cứng máy tính là phức tạp, bảo đảm sử dụng đúng của phần cứng để thực hiện hệ thống
tài nguyên là không tầm thường. Hãy xem xét các thành phần bộ nhớ phần cứng system.A gọi là dịch
Lookaside Buffer (TLB) nắm giữ một bộ nhớ cache của các ánh xạ từ các trang bộ nhớ ảo về vật lý của họ
đối tác nhớ. Nếu kẻ tấn công có thể sửa đổi các ánh xạ họ có thể thỏa hiệp
sự bảo mật và tính toàn vẹn của hệ thống và các ứng dụng dữ liệu người dùng. Tùy thuộc vào kiến trúc hệ thống, TLBs có thể được lấp đầy bởi phần cứng hay phần mềm. Đối với TLBs phần cứng đầy, việc thực hiện hệ thống phải đảm bảo rằng các bảng mục trang được sử dụng để điền vào các TLB không thể được sửa đổi bởi kẻ tấn công. Đối với phần mềm TLBs-điền, mã nạp tiền và dữ liệu được sử dụng bởi các mã phải được phân lập từ bất cứ hành vi tấn công.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Ước gì bạn coa thể về thái bình chơi với
- tự tin
- TÔI CHẮC RẰNG ĐÂY LÀ CHÀNG TRAI RẤT NỔI
- improvements in communication lead to be
- Mừng ngày đầy tháng
- giá khoảng bao nhiêu , tôi nghĩ mình sẽ
- Warned
- #重头戏#【@CCTV挑战不可能 本周日开播,约吗?】@CCTV挑战不可能 将于
- financial
- He has learned the whole poem
- 贴花
- is recommended. Considering only the thr
- Bathing
- These ‘leads and lags’ would further inc
- 绑定合成
- 3. Calculating Bearing Capacity of PC Pi
- dòng chữ ghi chú trên cán muỗng phải rõ
- Ước gì bạn có thể về thái bình chơi với
- じゅし
- tôi muốn chúng ta là bạn
- 愛してる
- Cleaning ServicesCleaning Material & Equ
- Use D10a150-T for top rebar of slab stri
- những cuốn sách anh ấy viết đã tiếp thêm
