- Văn bản
- Lịch sử
In 1981, Rushby examined the diffic
In 1981, Rushby examined the difficulty of building security kernel systems, such as Scomp and GEMSOS discussed in Chapter 6. Rushby found that security kernel systems, despite their near-minimal trusted computing base, had a significant, uncontrolled reliance on trusted services. As a result, he defined an alternative approach that he called a separation kernel [259, 260]. In a multilevel (MLS) system, if any process can write data from a higher sensitivity level to a lower sensitivity level, it violates the MLS policy (see the Bell-LaPadula policy [23] in Chapter 5).
However, some services are entrusted with such operations, such as inline encryption systems [259], that encrypt secret data and send it via public networks. Also, other services may be trusted to process data at multiple sensitivity levels with leakage, such as file and print servers. In an MLS system, such processes are simply trusted, and the MLS policy is not enforced on them. Rushby claimed that ensuring the correct behavior of trusted services of a security kernel system is too complex. In a general purpose system, we have a large number of trusted services, potentially complex interactions among trusted services, and a variety of interfaces accessible to untrusted processes. The SELinux system with its 30+ trusted programs is indicative of the number of trusted programs in a general-purpose system. The interactions among the resulting trusted processes are not clearly identified, but they are likely to be complex. Most dangerous of all is the number of ways that untrusted processes may invoke trusted programs. In minimal security kernel system, such as Scomp and GEMSOS, there were 30–40 gates defined to control such invocations. In a modern operating system, there are hundreds of system calls. Rushby’s solution is to treat each trusted program as one would a single node in a distributed system. For example, a file server node would be a single-purpose system attached to other systems via a single communication channel. If the “file server adheres to and enforces the multilevel security policy, the security of the rest of the system follows” [259]. That is, enforcement of system security goals can be composed from isolated elements that “adhere to and enforce” [259] those security goals.
Rushby coined the name of such a system as a separation kernel to distinguish it from a security
kernel.A separation kernel emphasizes independence and authorized communication. Each trusted
service runs in a isolated and independent system, perhaps on the same physical platform or perhaps not, and the services can only be accessed by a small number of mediated communication channels. The separation kernel is capable of complete mediation of such communication channels, such that the services could be isolated completely from the remainder of the system.
Rushby noted the similarity between the separation kernel concept and virtual machine systems,
as we described them above. The major distinction is that separation kernels do not require
that the separation kernel provide a virtualized hardware API, as a virtual machine monitor does. The trusted services in a separation kernel may be customized to a separation kernel system and minimized (e.g., not run a guest operating system).With increasing popularity of paravirtualized hypervisors, such as Xen [19], which require some awareness of running on a virtual machine monitor, and custom VMs as proposed for Terra [105], the line between a separation kernel and a virtual machine system is becoming blurrier each year.
A particular family of systems that implement the separation kernel approach are called
Multiple Independent Levels of Security (MILS) systems [131, 7, 193, 9].A MILS system architecture is shown in Figure 11.2. A each service runs in an isolated regime supported by Figure 11.2: A Multiple Independent Levels of Security (MILS) system architecture: individual systems are treated like separation physical machines and unsafe operations (e.g., encryption of secret data prior to network delivery) are routed through a simplified and verifiable trusted service. layer. Coarse-grained communication channels, analogous to network communication are provided, and an MILS separation kernel mediates access. If a trusted service is required (i.e., is trusted to enforce MLS as described above), it placed in its own regime, and the MILS middleware forwards unsafe requests to such services automatically.For example,Figure 11.2 shows a service that encrypts network traffic before being forwarded to the network service. Such trusted services should be small, so they may be verifiable. The MILS separation kernel architecture has been applied to missioncritical deployments for some time, but it is just now starting to garner attention in the mainstream. A proposal for how to construction and evaluate MILS systems has been proposed [233] (i.e., a
protection profile, see Chapter 12), as has a critique [347].
However, some services are entrusted with such operations, such as inline encryption systems [259], that encrypt secret data and send it via public networks. Also, other services may be trusted to process data at multiple sensitivity levels with leakage, such as file and print servers. In an MLS system, such processes are simply trusted, and the MLS policy is not enforced on them. Rushby claimed that ensuring the correct behavior of trusted services of a security kernel system is too complex. In a general purpose system, we have a large number of trusted services, potentially complex interactions among trusted services, and a variety of interfaces accessible to untrusted processes. The SELinux system with its 30+ trusted programs is indicative of the number of trusted programs in a general-purpose system. The interactions among the resulting trusted processes are not clearly identified, but they are likely to be complex. Most dangerous of all is the number of ways that untrusted processes may invoke trusted programs. In minimal security kernel system, such as Scomp and GEMSOS, there were 30–40 gates defined to control such invocations. In a modern operating system, there are hundreds of system calls. Rushby’s solution is to treat each trusted program as one would a single node in a distributed system. For example, a file server node would be a single-purpose system attached to other systems via a single communication channel. If the “file server adheres to and enforces the multilevel security policy, the security of the rest of the system follows” [259]. That is, enforcement of system security goals can be composed from isolated elements that “adhere to and enforce” [259] those security goals.
Rushby coined the name of such a system as a separation kernel to distinguish it from a security
kernel.A separation kernel emphasizes independence and authorized communication. Each trusted
service runs in a isolated and independent system, perhaps on the same physical platform or perhaps not, and the services can only be accessed by a small number of mediated communication channels. The separation kernel is capable of complete mediation of such communication channels, such that the services could be isolated completely from the remainder of the system.
Rushby noted the similarity between the separation kernel concept and virtual machine systems,
as we described them above. The major distinction is that separation kernels do not require
that the separation kernel provide a virtualized hardware API, as a virtual machine monitor does. The trusted services in a separation kernel may be customized to a separation kernel system and minimized (e.g., not run a guest operating system).With increasing popularity of paravirtualized hypervisors, such as Xen [19], which require some awareness of running on a virtual machine monitor, and custom VMs as proposed for Terra [105], the line between a separation kernel and a virtual machine system is becoming blurrier each year.
A particular family of systems that implement the separation kernel approach are called
Multiple Independent Levels of Security (MILS) systems [131, 7, 193, 9].A MILS system architecture is shown in Figure 11.2. A each service runs in an isolated regime supported by Figure 11.2: A Multiple Independent Levels of Security (MILS) system architecture: individual systems are treated like separation physical machines and unsafe operations (e.g., encryption of secret data prior to network delivery) are routed through a simplified and verifiable trusted service. layer. Coarse-grained communication channels, analogous to network communication are provided, and an MILS separation kernel mediates access. If a trusted service is required (i.e., is trusted to enforce MLS as described above), it placed in its own regime, and the MILS middleware forwards unsafe requests to such services automatically.For example,Figure 11.2 shows a service that encrypts network traffic before being forwarded to the network service. Such trusted services should be small, so they may be verifiable. The MILS separation kernel architecture has been applied to missioncritical deployments for some time, but it is just now starting to garner attention in the mainstream. A proposal for how to construction and evaluate MILS systems has been proposed [233] (i.e., a
protection profile, see Chapter 12), as has a critique [347].
0/5000
Năm 1981, Rushby kiểm tra khó khăn trong việc xây dựng bảo mật hệ thống hạt nhân, chẳng hạn như Scomp và GEMSOS thảo luận trong chương 6. Rushby thấy rằng hệ thống an ninh hạt nhân, mặc dù các căn cứ gần tối thiểu máy tính đáng tin cậy, có đáng kể, không kiểm soát được sự phụ thuộc vào dịch vụ đáng tin cậy. Kết quả là, ông định nghĩa một cách tiếp cận khác mà ông gọi là một tách hạt nhân [259, 260]. Trong một hệ thống đa (MLS), nếu bất kỳ quá trình có thể ghi dữ liệu từ một mức độ nhạy cảm cao đến mức độ nhạy thấp hơn, nó vi phạm các chính sách MLS (xem chính sách Bell-LaPadula [23] trong chương 5).Tuy nhiên, một số dịch vụ được giao phó với các hoạt động, chẳng hạn như inline hệ thống mã hóa [259], mà mã hóa dữ liệu bí mật và gửi qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý các dữ liệu ở nhiều cấp độ nhạy cảm với sự rò rỉ, chẳng hạn như tập tin và in các máy chủ. Hệ thống MLS, các quá trình được chỉ đơn giản là đáng tin cậy, và chính sách MLS không được áp dụng vào chúng. Rushby tuyên bố rằng việc đảm bảo chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống an ninh hạt nhân là quá phức tạp. Trong một hệ thống chung mục đích, chúng tôi có một số lớn các dịch vụ đáng tin cậy, các tương tác phức tạp có khả năng trong số các dịch vụ đáng tin cậy, và một loạt các giao diện dễ tiếp cận với quá trình không đáng tin cậy. Hệ thống SELinux với 30 + tin cậy chương trình là chỉ số đáng tin cậy chương trình trong một hệ thống đa năng. Sự tương tác giữa các quá trình đáng tin cậy kết quả rõ ràng không được xác định, nhưng họ có khả năng được phức tạp. Nguy hiểm nhất của tất cả là một số cách mà không đáng tin cậy quy trình có thể gọi các chương trình đáng tin cậy. Trong hệ thống hạt nhân an ninh tối thiểu, chẳng hạn như Scomp và GEMSOS, đã có 30 – 40 cửa được xác định để kiểm soát như vậy invocations. Trong một hệ điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp của Rushby là để điều trị mỗi chương trình đáng tin cậy như một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ tập tin sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh liên lạc duy nhất. Nếu "máy chủ tập tin tuân thủ và thi hành chính sách đa an ninh, bảo mật của phần còn lại của hệ thống sau" [259]. Có nghĩa là, bao gồm thực thi hệ thống an ninh mục tiêu từ cô lập các yếu tố "tuân thủ và thực thi" [259] những mục tiêu an ninh.Rushby đã đặt ra cái tên của một hệ thống như một tách hạt nhân để phân biệt nó từ một bảo mậthạt nhân. Một tách hạt nhân nhấn mạnh nền độc lập và được ủy quyền giao tiếp. Mỗi người tin cậyDịch vụ chạy trong một hệ thống bị cô lập và độc lập, có lẽ trên nền tảng vật lý cùng hay có lẽ không, và các dịch vụ chỉ có thể được truy cập bởi một số kênh truyền thông trung gian. Tách hạt nhân có khả năng hoàn thành hòa giải của các kênh truyền thông, như vậy mà các dịch vụ có thể được cô lập hoàn toàn từ phần còn lại của hệ thống.Rushby lưu ý sự tương đồng giữa tách hạt nhân khái niệm và hệ thống máy ảo,như chúng tôi mô tả chúng ở trên. Sự khác biệt chính là rằng tách hạt nhân không yêu cầumà tách hạt nhân cung cấp một phần cứng HĐH API, như một màn hình máy ảo. Các dịch vụ đáng tin cậy trong một tách hạt nhân có thể được tùy chỉnh để một hệ thống phân tách hạt nhân và giảm thiểu tối đa (ví dụ, không phải chạy một hệ điều hành đánh). Với sự gia tăng phổ biến của paravirtualized hypervisors, chẳng hạn như Xen [19], mà yêu cầu một số nhận thức của chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], dòng giữa một tách hạt nhân và một hệ thống máy ảo đang trở thành blurrier mỗi năm.Một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi làNhiều các hệ thống độc lập cấp số an ninh (MILS) [131, 7, 193, 9]. Một kiến trúc hệ thống MILS được thể hiện trong hình 11.2. Mỗi dịch vụ một chạy trong một chế độ bị cô lập được hỗ trợ bởi hình 11.2: A nhiều độc lập cấp số an ninh (MILS) kiến trúc hệ thống: Hệ thống cá nhân đang được điều trị như phân tách chất máy và không an toàn hoạt động (ví dụ: mã hóa các dữ liệu bí mật trước khi phân phối mạng) được định tuyến thông qua một dịch vụ đáng tin cậy đơn giản và kiểm chứng. lớp. Cung cấp các kênh truyền thông hạt thô, tương tự như mạng truyền thông, và một hạt nhân tách MILS hàm truy cập. Nếu một dịch vụ đáng tin cậy là cần thiết (ví dụ, là đáng tin cậy để thực thi các MLS như mô tả ở trên), nó đặt ở chế độ riêng của mình, và MILS middleware chuyển tiếp các yêu cầu không an toàn để các dịch vụ tự động. Ví dụ: hình 11.2 cho thấy một dịch vụ mã hóa lưu lượng mạng trước khi được chuyển tiếp tới dịch vụ mạng. Các dịch vụ đáng tin cậy nên nhỏ, vì vậy họ có thể kiểm chứng. MILS tách hạt nhân kiến trúc đã được áp dụng để triển khai missioncritical cho một số thời gian, nhưng nó chỉ là bây giờ bắt đầu để thu sự chú ý trong dòng chính. Một đề xuất về làm thế nào để xây dựng và đánh giá MILS hệ thống đã là đề xuất [233] (ví dụ, mộtbảo vệ thông tin, hãy xem chương 12), như có một phê phán [347].
đang được dịch, vui lòng đợi..
Năm 1981, Rushby đã kiểm tra khó khăn của hệ thống an ninh tòa nhà hạt nhân, chẳng hạn như Scomp và GEMSOS thảo luận trong Chương 6. Rushby thấy rằng các hệ thống hạt nhân an toàn, mặc dù cơ sở tính toán đáng tin cậy gần như tối thiểu của họ, có một ý nghĩa, sự phụ thuộc không kiểm soát được các dịch vụ đáng tin cậy. Kết quả là, ông định nghĩa một phương pháp khác mà ông gọi là một hạt nhân tách [259, 260]. Trong một hệ thống đa cấp (MLS), nếu quá trình nào có thể ghi dữ liệu từ một mức độ nhạy cảm cao với một mức độ nhạy thấp hơn, nó vi phạm các chính sách MLS (xem chính sách Bell-LaPadula [23] trong Chương 5).
Tuy nhiên, một số dịch vụ giao phó với các hoạt động như vậy, chẳng hạn như hệ thống mã hóa nội tuyến [259], đó mã hóa dữ liệu bí mật và gửi nó qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý dữ liệu ở nhiều cấp độ nhạy cảm với rò rỉ, chẳng hạn như tập tin và in các máy chủ. Trong một hệ thống MLS, quá trình như vậy chỉ đơn giản là đáng tin cậy, và các chính sách MLS không được thực thi trên chúng. Rushby tuyên bố rằng việc đảm bảo sự chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống hạt nhân bảo mật là quá phức tạp. Trong một hệ thống mục đích chung, chúng tôi có một số lượng lớn các dịch vụ đáng tin cậy, có khả năng tương tác phức tạp giữa các dịch vụ đáng tin cậy, và một loạt các giao diện truy cập vào các quá trình không tin cậy. Các hệ thống với hơn 30 chương trình tin cậy của nó SELinux là biểu hiện của số chương trình đáng tin cậy trong một hệ thống có mục đích chung. Sự tương tác giữa các quá trình kết quả đáng tin cậy không được xác định rõ ràng, nhưng họ có thể sẽ phức tạp. Nguy hiểm nhất của tất cả là số cách mà các quá trình không tin cậy có thể gọi chương trình đáng tin cậy. Trong hệ thống hạt nhân an toàn tối thiểu, chẳng hạn như Scomp và GEMSOS, có 30-40 cửa quy định để kiểm soát các viện dẫn như vậy. Trong một hệ thống điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp Rushby là để chữa trị cho mỗi chương trình đáng tin cậy như một sẽ là một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ file sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh truyền thông duy nhất. Nếu các "máy chủ tập tin tuân thủ và thực thi các chính sách an ninh đa cấp, an ninh của phần còn lại của hệ thống sau" [259]. Đó là, thực thi các mục tiêu an ninh hệ thống có thể được cấu tạo từ các nguyên tố bị cô lập mà "tuân thủ và thực thi" [259] những mục tiêu an ninh.
Rushby đặt ra tên của một hệ thống như một hạt nhân tách để phân biệt nó từ một an ninh
kernel.A tách hạt nhân nhấn mạnh sự độc lập và truyền thông có thẩm quyền. Mỗi tin cậy
dịch vụ chạy trong một hệ thống riêng biệt và độc lập, có lẽ trên nền tảng vật lý như nhau hoặc có thể không, và các dịch vụ chỉ có thể được truy cập bởi một số lượng nhỏ của các kênh truyền thông qua trung gian. Các hạt nhân tách có khả năng hòa giải hoàn toàn của các kênh truyền thông như vậy, như là các dịch vụ có thể được cô lập hoàn toàn với phần còn lại của hệ thống.
Rushby ghi nhận sự giống nhau giữa các khái niệm tách hạt nhân và hệ thống máy ảo,
như chúng ta đã mô tả chúng ở trên. Sự khác biệt chính là hạt nhân tách không yêu cầu
rằng hạt nhân tách cung cấp một API phần cứng ảo hóa, như một màn hình máy ảo không. Các dịch vụ đáng tin cậy trong một hạt nhân phân tách có thể được tùy chỉnh để một hệ thống tách hạt nhân và giảm thiểu (ví dụ, không phải chạy một hệ điều hành khách) .Với tăng phổ biến của các hypervisor paravirtualized, chẳng hạn như Xen [19], trong đó yêu cầu một số nhận thức về chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], ranh giới giữa một hạt nhân tách và một hệ thống máy ảo đang trở thành blurrier mỗi năm.
một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi là
nhiều trình độ độc lập về an ninh (mils) hệ thống [131 7, 193, 9] kiến trúc hệ thống .A mils được hiển thị trong hình 11.2. Một mỗi dịch vụ chạy trong một chế độ bị cô lập được hỗ trợ bởi Hình 11.2: Một Nhiều Levels độc lập của Security (mils) kiến trúc hệ thống: hệ thống cá nhân đang được điều trị như máy vật lý tách và hoạt động không an toàn (ví dụ, mã hóa dữ liệu bí mật trước khi giao hàng mạng) được định tuyến thông qua một dịch vụ đáng tin cậy đơn giản và có thể kiểm chứng. lớp. Kênh truyền thông Thô-hạt, tương tự như giao tiếp mạng được cung cấp, và một tách hạt nhân mils trung gian truy cập. Nếu một dịch vụ đáng tin cậy là cần thiết (ví dụ, được tin cậy để thực thi MLS như mô tả ở trên), nó được đặt ở chế độ riêng của mình, và Mils trung gian chuyển tiếp các yêu cầu an toàn cho các dịch vụ automatically.For ví dụ như vậy, Hình 11.2 cho thấy một dịch vụ mã hóa lưu lượng mạng trước khi được chuyển tiếp đến các dịch vụ mạng. Dịch vụ đáng tin cậy như vậy phải nhỏ, vì vậy họ có thể xác minh được. Các mils kiến trúc tách hạt nhân đã được áp dụng để triển khai missioncritical một thời gian, nhưng nó chỉ là bây giờ bắt đầu thu hút sự chú ý trong chính. Một đề xuất cho làm thế nào để xây dựng và đánh giá mils hệ thống đã được đề xuất [233] (tức là, một
hồ sơ bảo vệ, xem Chương 12), như có một bài phê bình [347].
Tuy nhiên, một số dịch vụ giao phó với các hoạt động như vậy, chẳng hạn như hệ thống mã hóa nội tuyến [259], đó mã hóa dữ liệu bí mật và gửi nó qua mạng công cộng. Ngoài ra, các dịch vụ khác có thể được tin cậy để xử lý dữ liệu ở nhiều cấp độ nhạy cảm với rò rỉ, chẳng hạn như tập tin và in các máy chủ. Trong một hệ thống MLS, quá trình như vậy chỉ đơn giản là đáng tin cậy, và các chính sách MLS không được thực thi trên chúng. Rushby tuyên bố rằng việc đảm bảo sự chính xác hành vi của các dịch vụ đáng tin cậy của một hệ thống hạt nhân bảo mật là quá phức tạp. Trong một hệ thống mục đích chung, chúng tôi có một số lượng lớn các dịch vụ đáng tin cậy, có khả năng tương tác phức tạp giữa các dịch vụ đáng tin cậy, và một loạt các giao diện truy cập vào các quá trình không tin cậy. Các hệ thống với hơn 30 chương trình tin cậy của nó SELinux là biểu hiện của số chương trình đáng tin cậy trong một hệ thống có mục đích chung. Sự tương tác giữa các quá trình kết quả đáng tin cậy không được xác định rõ ràng, nhưng họ có thể sẽ phức tạp. Nguy hiểm nhất của tất cả là số cách mà các quá trình không tin cậy có thể gọi chương trình đáng tin cậy. Trong hệ thống hạt nhân an toàn tối thiểu, chẳng hạn như Scomp và GEMSOS, có 30-40 cửa quy định để kiểm soát các viện dẫn như vậy. Trong một hệ thống điều hành hiện đại, có hàng trăm cuộc gọi hệ thống. Giải pháp Rushby là để chữa trị cho mỗi chương trình đáng tin cậy như một sẽ là một nút duy nhất trong một hệ thống phân phối. Ví dụ, một nút máy chủ file sẽ là một hệ thống đơn mục đích gắn liền với các hệ thống khác thông qua một kênh truyền thông duy nhất. Nếu các "máy chủ tập tin tuân thủ và thực thi các chính sách an ninh đa cấp, an ninh của phần còn lại của hệ thống sau" [259]. Đó là, thực thi các mục tiêu an ninh hệ thống có thể được cấu tạo từ các nguyên tố bị cô lập mà "tuân thủ và thực thi" [259] những mục tiêu an ninh.
Rushby đặt ra tên của một hệ thống như một hạt nhân tách để phân biệt nó từ một an ninh
kernel.A tách hạt nhân nhấn mạnh sự độc lập và truyền thông có thẩm quyền. Mỗi tin cậy
dịch vụ chạy trong một hệ thống riêng biệt và độc lập, có lẽ trên nền tảng vật lý như nhau hoặc có thể không, và các dịch vụ chỉ có thể được truy cập bởi một số lượng nhỏ của các kênh truyền thông qua trung gian. Các hạt nhân tách có khả năng hòa giải hoàn toàn của các kênh truyền thông như vậy, như là các dịch vụ có thể được cô lập hoàn toàn với phần còn lại của hệ thống.
Rushby ghi nhận sự giống nhau giữa các khái niệm tách hạt nhân và hệ thống máy ảo,
như chúng ta đã mô tả chúng ở trên. Sự khác biệt chính là hạt nhân tách không yêu cầu
rằng hạt nhân tách cung cấp một API phần cứng ảo hóa, như một màn hình máy ảo không. Các dịch vụ đáng tin cậy trong một hạt nhân phân tách có thể được tùy chỉnh để một hệ thống tách hạt nhân và giảm thiểu (ví dụ, không phải chạy một hệ điều hành khách) .Với tăng phổ biến của các hypervisor paravirtualized, chẳng hạn như Xen [19], trong đó yêu cầu một số nhận thức về chạy trên một màn hình máy ảo, và tùy chỉnh máy ảo như đề xuất cho Terra [105], ranh giới giữa một hạt nhân tách và một hệ thống máy ảo đang trở thành blurrier mỗi năm.
một gia đình đặc biệt của hệ thống thực hiện phương pháp tách hạt nhân được gọi là
nhiều trình độ độc lập về an ninh (mils) hệ thống [131 7, 193, 9] kiến trúc hệ thống .A mils được hiển thị trong hình 11.2. Một mỗi dịch vụ chạy trong một chế độ bị cô lập được hỗ trợ bởi Hình 11.2: Một Nhiều Levels độc lập của Security (mils) kiến trúc hệ thống: hệ thống cá nhân đang được điều trị như máy vật lý tách và hoạt động không an toàn (ví dụ, mã hóa dữ liệu bí mật trước khi giao hàng mạng) được định tuyến thông qua một dịch vụ đáng tin cậy đơn giản và có thể kiểm chứng. lớp. Kênh truyền thông Thô-hạt, tương tự như giao tiếp mạng được cung cấp, và một tách hạt nhân mils trung gian truy cập. Nếu một dịch vụ đáng tin cậy là cần thiết (ví dụ, được tin cậy để thực thi MLS như mô tả ở trên), nó được đặt ở chế độ riêng của mình, và Mils trung gian chuyển tiếp các yêu cầu an toàn cho các dịch vụ automatically.For ví dụ như vậy, Hình 11.2 cho thấy một dịch vụ mã hóa lưu lượng mạng trước khi được chuyển tiếp đến các dịch vụ mạng. Dịch vụ đáng tin cậy như vậy phải nhỏ, vì vậy họ có thể xác minh được. Các mils kiến trúc tách hạt nhân đã được áp dụng để triển khai missioncritical một thời gian, nhưng nó chỉ là bây giờ bắt đầu thu hút sự chú ý trong chính. Một đề xuất cho làm thế nào để xây dựng và đánh giá mils hệ thống đã được đề xuất [233] (tức là, một
hồ sơ bảo vệ, xem Chương 12), như có một bài phê bình [347].
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Tôi trở nên thờ ơ hơn với bạn bè của mìn
- My parents so do
- Tôi không biết bây giờ anh ấy có còn thí
- dù sao đi nữa, tôi đều thích học ở kí tú
- you look nervous! Why's that ?
- 我刚 去吃饭。应该不知道你发送 Gmail 的。对不起你
- Bad impact on studies
- business objectives and the ultimate vis
- Sinh mệnh tổ chức tình báo này bị đe dọa
- bệnh tật
- thế giới này ai cần tôi
- Việt Nam đang đối mặt với những khó khăn
- interest group attention
- Hẹn gặp lại vào một ngày không xa
- Nếu nhân viên đã hẹn trả lời thì họ có t
- widthmunicipal
- Tôi không biết bây giờ anh ấy có còn thí
- To enumerate soil algal populations usin
- Template induced sol–gel synthesis of hi
- widthmuniciple
- Traditionally the interior design profes
- giảm giá 30%
- I am a YouTuber and I like your channel
- The visual appearance of the biological
