Referensmonitor

Den här artikeln handlar om datoroperativsystemkomponenten. För sändningsreferensmonitor, se Broadcastreferensmonitor . För ljudreferensmonitor, se Studiomonitor .

I operativsystemsarkitektur definierar ett referensmonitorkoncept en uppsättning designkrav på en referensvalideringsmekanism, som upprätthåller en åtkomstkontrollpolicy över subjekts (t.ex. processer och användare) förmåga att utföra operationer (t.ex. läsa och skriva) på objekt ( t.ex. filer och uttag) på ett system. Egenskaperna för en referensmonitor fångas av akronymen NEAT, vilket betyder:

  • Referensvalideringsmekanismen måste vara Non-bypassable , så att en angripare inte kan kringgå mekanismen och bryta mot säkerhetspolicyn.
  • Referensvalideringsmekanismen måste vara utvärderbar , dvs mottaglig för analyser och tester, vars fullständighet kan säkerställas (verifierbar). Utan denna egenskap kan mekanismen vara felaktig på ett sådant sätt att säkerhetspolicyn inte upprätthålls.
  • Referensvalideringsmekanismen måste alltid anropas . Utan den här egenskapen är det möjligt att mekanismen inte fungerar när den är avsedd, vilket gör att en angripare kan bryta mot säkerhetspolicyn.
  • Referensvalideringsmekanismen måste vara manipuleringssäker . Utan denna egenskap kan en angripare undergräva själva mekanismen och därmed bryta mot säkerhetspolicyn.

Till exempel byggdes inte operativsystemen Windows 3.x och 9x med en referensmonitor, medan Windows NT- linjen, som även inkluderar Windows 2000 och Windows XP , utformades för att innehålla en referensmonitor, även om det inte är klart att dess egenskaper (manipuleringssäkra, etc.) någonsin har verifierats oberoende, eller vilken nivå av datorsäkerhet det var avsett att tillhandahålla.

Påståendet är att en referensvalideringsmekanism som uppfyller referensövervakningskonceptet korrekt kommer att upprätthålla ett systems åtkomstkontrollpolicy, eftersom den måste anropas för att förmedla alla säkerhetskänsliga operationer, inte får manipuleras och har genomgått fullständig analys och testning för att verifiera riktigheten. Den abstrakta modellen för en referensmonitor har tillämpats i stor utsträckning på alla typer av system som behöver upprätthålla åtkomstkontroll och anses uttrycka de nödvändiga och tillräckliga egenskaperna för alla system som gör detta säkerhetsanspråk.

Enligt Ross Anderson introducerades referensmonitorkonceptet av James Anderson i en inflytelserik tidning från 1972. Peter Denning uppgav i en muntlig historia 2013 att James Anderson krediterade konceptet till ett dokument som han och Scott Graham presenterade vid en konferens 1972.

System som utvärderas vid B3 och högre av Trusted Computer System Evaluation Criteria (TCSEC) måste tillämpa referensmonitorkonceptet.

Se även


Hämtad från " https://en.wikipedia.org/w/index.php?title=Reference_monitor&oldid=1030553167 "