Reference skærm - Reference monitor
I operativsystemarkitektur definerer et referencemonitorkoncept et sæt designkrav til en referencevalideringsmekanisme, som håndhæver en adgangskontrolpolitik over emnes (f.eks. Processer og brugere) evne til at udføre operationer (f.eks. Læse og skrive) på objekter ( f.eks. filer og stikkontakter) på et system. Egenskaberne for en referencemonitor er fanget af akronymet NEAT, hvilket betyder:
- Referencevalideringsmekanismen skal være ikke-omgåelig , så en angriber ikke kan omgå mekanismen og krænke sikkerhedspolitikken.
- Referencevalideringsmekanismen skal være evaluerbar , dvs. modtagelig for analyse og test, hvis fuldstændighed kan sikres (verificerbar). Uden denne egenskab kan mekanismen være fejlbehæftet på en sådan måde, at sikkerhedspolitikken ikke håndhæves.
- Referencevalideringsmekanismen skal altid påberåbes . Uden denne egenskab er det muligt, at mekanismen ikke fungerer, når det er beregnet, hvilket tillader en angriber at overtræde sikkerhedspolitikken.
- Referencevalideringsmekanismen skal være manipulationssikker . Uden denne ejendom kan en angriber underminere selve mekanismen og dermed krænke sikkerhedspolitikken.
For eksempel blev Windows 3.x og 9x operativsystemer ikke bygget med en referencemonitor, mens Windows NT- linjen, som også inkluderer Windows 2000 og Windows XP , var designet til at indeholde en referencemonitor, selvom det ikke er klart, at dens egenskaber (manipulationssikker osv.) er nogensinde blevet verificeret uafhængigt, eller hvilket niveau af computersikkerhed det var beregnet til at give.
Påstanden er, at en referencevalideringsmekanisme, der opfylder referencemonitor-konceptet korrekt håndhæver et systems adgangskontrolpolitik, da den skal påberåbes for at formidle alle sikkerhedsfølsomme operationer, ikke skal manipuleres med og har gennemgået komplet analyse og test for at kontrollere rigtigheden. Den abstrakte model af en referencemonitor er blevet anvendt i vid udstrækning på enhver form for system, der har brug for at håndhæve adgangskontrol og anses for at udtrykke de nødvendige og tilstrækkelige egenskaber til ethvert system, der fremsætter dette sikkerhedskrav.
Ifølge Ross Anderson blev referencemonitorkonceptet introduceret af James Anderson i et indflydelsesrig papir fra 1972. Peter Denning erklærede i en mundtlig historie fra 2013, at James Anderson krediterede konceptet til et papir, som han og Scott Graham præsenterede på en konference i 1972.
Systemer, der evalueres ved B3 og derover af Trusted Computer System Evaluation Criteria (TCSEC), skal håndhæve referencemonitorkonceptet.
Referencer
Se også