Jump to content

Разделительное ядро

Add links

Ядро разделения — это тип ядра безопасности , используемый для моделирования распределенной среды. Эта концепция была представлена ​​Джоном Рашби в статье 1981 года. [1] Рашби предложил ядро ​​разделения как решение трудностей и проблем, возникших при разработке и проверке больших и сложных ядер безопасности, которые предназначались для «обеспечения многоуровневой безопасной работы в многопользовательских системах общего назначения». По словам Рашби, «задача ядра разделения состоит в том, чтобы создать среду, неотличимую от среды, обеспечиваемой физически распределенной системой: должно создаваться впечатление, будто каждый режим представляет собой отдельную, изолированную машину и что информация может поступать только с одной машины. Следовательно, одно из свойств ядра разделения, которое мы должны доказать, заключается в том, что между режимами нет других каналов для потока информации, кроме тех, которые явно предусмотрены».

Вариант ядра разделения, ядро ​​разделения, получил признание в сообществе коммерческой авиации как способ консолидации на одном процессоре нескольких функций, возможно, смешанной критичности . Коммерческие операционные системы реального времени этого жанра используются производителями самолетов для критически важных с точки зрения безопасности приложений авионики.

В 2007 году Управление обеспечения информации Агентства национальной безопасности США (АНБ) опубликовало профиль защиты разделительного ядра (SKPP). [2] спецификация требований безопасности для ядер разделения, подходящих для использования в средах с наиболее враждебными угрозами. СКПП описывает в общих критериях [3] говоря языком, класс современных продуктов, которые обеспечивают основные свойства ядра концептуального разделения Рашби. Он определяет функциональные требования безопасности и требования к обеспечению безопасности для построения и оценки ядер разделения, в то же время предоставляя некоторую свободу выбора, доступную разработчикам.

SKPP определяет ядро ​​разделения как «аппаратные и/или встроенные и/или программные механизмы, основная функция которых заключается в создании, изоляции и разделении нескольких разделов и управлении информационным потоком между субъектами и экспортируемыми ресурсами, выделенными для этих разделов». Кроме того, основные функциональные требования ядра разделения включают в себя:

  • Защита всех ресурсов (включая процессор , память и устройства) от несанкционированного доступа.
  • Отделение внутренних ресурсов, используемых целевыми функциями безопасности оценки (TSF), от экспортируемых ресурсов, предоставляемых субъектам.
  • Разделение и изоляция экспортируемых ресурсов.
  • Посредничество информационных потоков между разделами и между экспортируемыми ресурсами.
  • Аудиторские услуги.

Ядро разделения распределяет все экспортированные ресурсы, находящиеся под его контролем, по разделам. Разделы изолированы, за исключением явно разрешенных информационных потоков. Действия субъекта в одном разделе изолированы от субъектов в другом разделе (т. е. не могут быть обнаружены или переданы ему), если только этот поток не разрешен. Разделы и потоки определяются в данных конфигурации. Обратите внимание, что «раздел» и «субъект» являются ортогональными абстракциями. «Разделение», как указывает его математическое происхождение, обеспечивает теоретико-множественную группировку системных сущностей, тогда как «субъект» позволяет нам рассуждать об отдельных активных сущностях системы. Таким образом, раздел (коллекция, содержащая ноль или более элементов) не является субъектом (активным элементом), но может содержать ноль или более субъектов. [2] Ядро разделения обеспечивает размещаемым программам высоконадежные свойства разделения и управления информационными потоками, которые являются одновременно защищенными от несанкционированного доступа и необходимыми. Эти возможности обеспечивают настраиваемую надежную основу для различных системных архитектур. [2]

Решения

[ редактировать ]
  • PikeOS сочетает в себе технологию гипервизора с разделением ядра и возможности жесткого реального времени.
  • INTEGRITY-178B от Green Hills Software. В сентябре 2008 года оно стало первым ядром разделения, сертифицированным по SKPP. [4]
  • Wind River Systems имеет технологию разделения ядра, которая находилась в процессе активной сертификации в 2009 году.
  • Lynx Software Technologies имеет ядро ​​разделения LynxSecure .

В 2011 году Дирекция информационного обеспечения ликвидировала СКПП. АНБ больше не будет сертифицировать конкретные операционные системы, включая ядра разделения, по SKPP, отмечая, что «соответствие этому профилю защиты само по себе не дает достаточной уверенности в том, что информация национальной безопасности надлежащим образом защищена в контексте более крупной системы, в которой соответствующий профиль защиты» продукт интегрирован». [5]

Микроядро seL4 имеет формальное доказательство того, что его можно настроить как ядро ​​разделения. [6] Принудительное сохранение информации [7] Вместе с этим подразумевается, что это пример высокого уровня уверенности. Муен [8] Ядро разделения также является официально проверенным ядром разделения с открытым исходным кодом для компьютеров x86.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Джон Рашби, «Проектирование и проверка безопасных систем», Восьмой симпозиум ACM по принципам операционных систем, стр. 12–21, Асиломар, Калифорния, декабрь 1981 г. ( Обзор операционных систем ACM , том 15, № 5).
  2. ^ Jump up to: а б с Управление обеспечения информации, Агентство национальной безопасности, Форт Джордж Г. Мид, Мэриленд. «Профиль защиты правительства США для разделительных ядер в средах, требующих высокой надежности», версия 1.03, июнь 2007 г.
  3. ^ «Общие критерии оценки безопасности информационных технологий», версия 3.1, CCMB-2006-09-001, 002, 003, сентябрь 2006 г.
  4. ^ http://www.niap-ccevs.org/cc-scheme/st/st_vid10119-st.pdf [ только URL-адрес PDF ]
  5. ^ https://www.niap-ccevs.org/pp/archived/PP_SKPP_HR_V1.03/
  6. ^ «Подтвержденные L4 доказательства» . Гитхаб . 18 ноября 2021 г.
  7. ^ https://www.nicta.com.au/publications/research-publications/?pid=6464
  8. ^ https://muen.sk/muen-report.pdf [ только URL-адрес PDF ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Separation_kernel&oldid=1104534091"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0e2a95f21ab4478003a0a3033c84ab5a__1660563060
URL1:https://arc.ask3.ru/arc/aa/0e/5a/0e2a95f21ab4478003a0a3033c84ab5a.html
Заголовок, (Title) документа по адресу, URL1:
Separation kernel - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)