Ishonchli hisoblash bazasi - Trusted computing base

The ishonchli hisoblash bazasi (TCB) ning kompyuter tizimi barchaning to'plamidir apparat, proshivka va / yoki dasturiy ta'minot uning uchun juda muhim bo'lgan tarkibiy qismlar xavfsizlik, bu ma'noda xatolar yoki zaifliklar TCB ichida sodir bo'lishi butun tizimning xavfsizlik xususiyatlarini xavf ostiga qo'yishi mumkin. Aksincha, TCB tashqarisidagi kompyuter tizimining qismlari o'zlarini yomon tutib ketishi mumkin emas. imtiyozlar ga muvofiq ularga berilganidan ko'ra xavfsizlik siyosati.

Tizimning ishonchli hisoblash bazasini puxta ishlab chiqish va amalga oshirish uning xavfsizligi uchun eng muhimi. Zamonaviy operatsion tizimlar TCB hajmini kamaytirishga intilish^{[tanasida tasdiqlanmagan ]} uning kod bazasini to'liq tekshirish (qo'lda yoki kompyuter yordamida) dasturiy ta'minot auditi yoki dasturni tekshirish ) mumkin bo'ladi.

Ta'rif va tavsif

Atama ishonchli hisoblash bazasi orqaga qaytadi Jon Rushbi,^[1] kim uni kombinatsiyasi sifatida aniqlagan yadro va ishonchli jarayonlar. Ikkinchisi tizimga kirishni boshqarish qoidalarini buzish uchun ruxsat berilgan jarayonlarni nazarda tutadi, klassik maqolada Tarqatilgan tizimlarda autentifikatsiya: nazariya va amaliyot^[2] Lempson va boshq. a ning TCB-ni aniqlang kompyuter tizimi oddiygina

xavfsizlikka bog'liq bo'lgan va biz xavfsizlikka ta'sir qilmasdan noto'g'ri ish tutishi mumkin bo'lgan juda katta hajmdan ajratib turadigan oz miqdordagi dasturiy ta'minot.

Ikkala ta'rif, aniq va qulay bo'lishiga qaramay, nazariy jihatdan aniq emas va mo'ljallanmagan, masalan. a tarmoq serveri ostida jarayon UNIX o'xshash operatsion tizim a qurboniga aylanishi mumkin xavfsizlikni buzish va tizim xavfsizligining muhim qismiga putur etkazadi, ammo operatsion tizim TCB tarkibiga kirmaydi. The To'q rangli kitob, yana bir klassik kompyuter xavfsizligi adabiyot ma'lumotnomasi, shuning uchun beradi^[3] kompyuter tizimining TCB-ga yanada aniqroq ta'rifi

uning tarkibidagi himoya mexanizmlarining, shu jumladan, kompyuter xavfsizligi siyosatini amalga oshirishga mas'ul bo'lgan apparat, proshivka va dasturiy ta'minotning umumiyligi.

Boshqacha qilib aytganda, ishonchli hisoblash bazasi (TCB) - bu sizning xavfsizlik siyosatingizni amalga oshirish uchun ishonchli bazani yaratish uchun birgalikda ishlaydigan apparat, dasturiy ta'minot va boshqarish vositalarining kombinatsiyasi.

Orange Book bundan keyin buni tushuntiradi

Ishonchli hisoblash bazasining birlashtirilgan xavfsizlik siyosatini to'g'ri amalga oshirish qobiliyati ishonchli hisoblash bazasidagi mexanizmlarning to'g'riligiga, ularning to'g'riligini ta'minlash uchun ushbu mexanizmlarning himoyasiga va xavfsizlik bilan bog'liq parametrlarning to'g'ri kiritilishiga bog'liq. siyosat.

Boshqacha qilib aytganda, ma'lum bir apparat yoki dasturiy ta'minot, agar u kompyuter tizimida uning xavfsizligini ta'minlaydigan mexanizmning bir qismi bo'lishi uchun yaratilgan bo'lsa, TCB tarkibiga kiradi. Yilda operatsion tizimlar, bu odatda quyidagilardan iborat yadro (yoki mikrokernel ) va tanlangan tizim yordam dasturlari to'plami (masalan, setuid dasturlari va xizmatkorlar UNIX tizimlarida). Yilda dasturlash tillari kabi mo'ljallangan xavfsizlik xususiyatlariga ega Java va E, TCB tillarning ishlash vaqti va standart kutubxonasidan tashkil topgan.^[4]

Xususiyatlari

Xavfsizlik siyosatiga asoslangan

Yuqorida keltirilgan "Orange Book" ta'rifi natijasida TCB chegaralari xavfsizlik siyosati qanday amalga oshirilishining o'ziga xos xususiyatlariga bog'liq. Yuqoridagi tarmoq serveri misolida, aytaylik, a Veb-server bu xizmat qiladi ko'p foydalanuvchi dastur operatsion tizimning TCB qismiga kirmaydi, uni bajarish mas'uliyati yuklangan kirishni boshqarish foydalanuvchilar bir-birining identifikatori va imtiyozlarini o'zlashtira olmasligi uchun. Shu ma'noda, bu, albatta, UNIX serverini, foydalanuvchi brauzerlarini va veb-ilovani o'z ichiga olgan katta kompyuter tizimining TCB qismidir; boshqacha qilib aytganda, masalan, veb-serverga kirish. a buferni to'ldirish operatsion tizimning murosasi deb qaralmasligi mumkin, ammo bu, albatta, zararli hisoblanadi ekspluatatsiya veb-ilovada.

TCB chegarasining ushbu asosiy nisbiyligi, "baholash maqsadi" ("BO") tushunchasi bilan ifodalanadi. Umumiy mezonlar xavfsizlik jarayoni: Umumiy mezonlar xavfsizligini baholash jarayonida, qabul qilinishi kerak bo'lgan birinchi qarorlardan biri bu tekshiriladigan tizim tarkibiy qismlari ro'yxati bo'yicha auditning chegarasi.

Xavfsizlikning zaruriy sharti

Dizaynining bir qismi sifatida ishonchli hisoblash bazasiga ega bo'lmagan tizimlar o'zlarining xavfsizligini ta'minlamaydi: xavfsizlik ularga tashqi vositalar (masalan, tarmoqqa ulanmagan holda qulflangan xonada o'tirgan kompyuter) orqali ta'minlangan taqdirdagina xavfsizdir. dasturidan qat'i nazar, siyosatiga qarab xavfsiz deb hisoblanishi mumkin). Buning sababi shundaki Devid J. Farber va boshq. qo'y,^[5] [i] kompyuter tizimida pastki qatlamlarning yaxlitligi odatda yuqori qatlamlar tomonidan aksiomatik hisoblanadi. Kompyuter xavfsizligiga kelsak, kompyuter tizimining xavfsizlik xususiyatlari haqida mulohaza yuritish, u qila oladigan va eng muhimi, qila olmaydigan narsalar to'g'risida qat'iy taxminlar qilishni talab qiladi; ammo, aks holda ishonish uchun biron-bir sababni taqiqlab, kompyuter hamma narsaga qodir Von Neyman mashinasi mumkin. Shubhasiz, bu oddiy xavfsizlik siyosatidan boshqasiga zid deb hisoblanadigan operatsiyalarni o'z ichiga oladi, masalan, an elektron pochta yoki parol bu sir tutilishi kerak; ammo, tizim me'morchiligidagi maxsus qoidalarni taqiqlagan holda, kompyuterning inkor etilishi mumkin emas dasturlashtirilgan bo'lishi mumkin ushbu kiruvchi vazifalarni bajarish.

Amallarning ayrim turlarini bajarilishining oldini olishga qaratilgan ushbu maxsus qoidalar, aslida, ishonchli hisoblash bazasini tashkil etadi. Shu sababli To'q rangli kitob (hanuzgacha 2007 yildagi xavfsiz operatsion tizimlarning dizayni bo'yicha ma'lumotnoma^[yangilash]) asosan TCB tuzilishi va xavfsizlik xususiyatlari jihatidan belgilaydigan har xil xavfsizlikni ta'minlash darajasini tavsiflaydi.

TKBning dasturiy ta'minot qismlari o'zlarini himoya qilishi kerak

Yuqorida aytib o'tilgan Orange Bookda ta'kidlanganidek, ishonchli hisoblash bazasining dasturiy ta'minot qismlari o'zlarini har qanday ta'sirga ega bo'lishdan himoya qilishlari kerak. Buning sababi fon Neyman me'morchiligi deyarli barcha zamonaviy kompyuterlar tomonidan amalga oshiriladi: buyon mashina kodi ma'lumotlarning boshqa bir turi sifatida qayta ishlanishi mumkin, uni maxsus taqiqlangan har qanday dastur o'qishi va yozishi mumkin xotirani boshqarish keyinchalik TCBning bir qismi sifatida ko'rib chiqilishi kerak bo'lgan qoidalar. Xususan, ishonchli hisoblash bazasi hech bo'lmaganda o'z dasturiy ta'minotining yozilishiga yo'l qo'ymasligi kerak.

Ko'pgina zamonaviylarda CPU, TCB-ni joylashtiradigan xotirani himoyalashga ixtisoslashgan apparat qismiga qo'shish orqali erishiladi xotirani boshqarish bo'limi (MMU), bu operatsion tizim tomonidan ishga tushiriladigan dasturlarga tizim xotirasining ma'lum diapazonlariga kirishga ruxsat berish va rad etish uchun dasturlashtirilishi mumkin. Albatta, operatsion tizim boshqa dasturlarga bunday dasturlashni taqiqlashga qodir. Ushbu uslub deyiladi nazoratchi rejimi; ko'proq xom yondashuvlar bilan taqqoslaganda (masalan, TCB ni saqlash ROM, yoki unga teng ravishda Garvard me'morchiligi ) xavfsizligi uchun muhim bo'lgan dasturiy ta'minotni ushbu sohada yangilashga imkon berishning afzalligi bor, garchi ishonchli hisoblash bazasini xavfsiz yangilashga imkon berish o'zi uchun bootstrap muammolarini keltirib chiqaradi.^[6]

Ishonchli va ishonchli

Ta'kidlanganidek yuqorida, kompyuter tizimining xavfsizligini aniqlashda biron bir yutuqqa erishish uchun ishonchli hisoblash bazasiga ishonch talab qilinadi. Boshqacha qilib aytganda, ishonchli hisoblash bazasi, avvalo, shu ma'noda "ishonchli" bor ishonchli bo'lishi shart va bu ishonchli bo'lishi shart emas. Haqiqiy operatsion tizimlar muntazam ravishda xavfsizlik nuqtai nazaridan xatolarga yo'l qo'yishadi, bu esa bunday ishonchning amaliy chegaralarini tasdiqlaydi.^[7]

Muqobil variant rasmiydir dasturiy ta'minotni tekshirish, xatolarning yo'qligini ko'rsatish uchun matematik isbotlash usullaridan foydalanadi. Tadqiqotchilar NICTA va uning nayzasi Kernel laboratoriyalarini oching yaqinda shunday rasmiy tekshirishni amalga oshirdilar seL4, a'zosi L4 mikrokernellar oilasi, yadroning S bajarilishining funktsional to'g'riligini isbotlovchi.^[8]Bu seL4-ni birinchi operatsion tizim yadrosi qiladi, bu matematik isbot xatosiz deb hisoblab, ishonch va ishonchlilik o'rtasidagi farqni yopadi.

TCB hajmi

Rasmiy tekshirish yoki qo'lda ko'rib chiqish kabi qimmat texnikani qo'llashning yuqorida aytib o'tilgan ehtiyojidan kelib chiqqan holda, TCB hajmi TCB kafolati jarayonining iqtisodiyoti va natijada hosil bo'lgan mahsulotning ishonchliligi uchun darhol oqibatlarga olib keladi ( matematik kutish tekshirish yoki ko'rib chiqish paytida topilmagan xatolar sonining soni). Xarajatlarni va xavfsizlik xavfini kamaytirish uchun TKBni iloji boricha kichikroq saqlash kerak. Bu munozarani afzal ko'rgan asosiy argument mikrokernellar ga monolit yadrolari.^[9]

Misollar

AIX paketlarni boshqarish tizimida ixtiyoriy tarkibiy qism sifatida ishonchli hisoblash bazasini moddiylashtirmoqda.^[10]

Shuningdek qarang

Adabiyotlar

^ Rushbi, Jon (1981). "Xavfsiz tizimlarni loyihalash va tekshirish". Operatsion tizim printsiplari bo'yicha 8-ACM simpoziumi. Pacific Grove, Kaliforniya, AQSh. 12-21 bet.
^ B. Lempson, M. Abadi, M. Burrows va E. Vobber, Tarqatilgan tizimlarda autentifikatsiya: nazariya va amaliyot, Kompyuter tizimlarida ACM operatsiyalari 1992 yil, 6-betda.
^ Mudofaa vazirligi ishonchli kompyuter tizimini baholash mezonlari, DoD 5200.28-STD, 1985. Kiritilgan lug'atda Ishonchli hisoblash bazasi (TCB).
^ M. Miller, C. Morningstar va B. Frants, Imkoniyatlarga asoslangan moliyaviy vositalar (Granovetter diagrammasiga baho), xatboshida Subyektiv birlashma.
^ V. Arbaugh, D. Farber va J. Smit, Xavfsiz va ishonchli bootstrap arxitekturasi 1997 yil, shuningdek, "aegis papers" deb nomlanadi.
^ Xavfsiz va ishonchli bootstrap arxitekturasi, op. keltirish.
^ Bryus Shnayer, Xavfsizlik patch yugurish yo'lagi (2001)
^ Klayn, Gervin; Elfinston, Kevin; Xeyzer, Gernot; Andronik, iyun; Xo'roz, Devid; Derrin, Filipp; Elkaduve, Dammika; Engelxardt, Kay; Kolanski, Rafal; Norris, Maykl; Syuell, Tomas; Tuch, Xarvi; Uinvud, Simon (oktyabr 2009). "seL4: OS yadrosining rasmiy tekshiruvi" (PDF). Operatsion tizim tamoyillari bo'yicha 22-ACM simpoziumi. Big Sky, Montana, AQSh. 207-220 betlar.
^ Endryu S. Tanenbaum, Tanenbaum-Torvalds bahslari, II qism (2006 yil 12-may)
^ AIX 4.3 Xavfsizlik elementlari, 2000 yil avgust, 6-bob.

[1] Rushbi, Jon (1981). "Xavfsiz tizimlarni loyihalash va tekshirish". Operatsion tizim printsiplari bo'yicha 8-ACM simpoziumi. Pacific Grove, Kaliforniya, AQSh. 12-21 bet.

[2] B. Lempson, M. Abadi, M. Burrows va E. Vobber, Tarqatilgan tizimlarda autentifikatsiya: nazariya va amaliyot, Kompyuter tizimlarida ACM operatsiyalari 1992 yil, 6-betda.

[3] Mudofaa vazirligi ishonchli kompyuter tizimini baholash mezonlari, DoD 5200.28-STD, 1985. Kiritilgan lug'atda Ishonchli hisoblash bazasi (TCB).

[4] M. Miller, C. Morningstar va B. Frants, Imkoniyatlarga asoslangan moliyaviy vositalar (Granovetter diagrammasiga baho), xatboshida Subyektiv birlashma.

[5] V. Arbaugh, D. Farber va J. Smit, Xavfsiz va ishonchli bootstrap arxitekturasi 1997 yil, shuningdek, "aegis papers" deb nomlanadi.

[6] Xavfsiz va ishonchli bootstrap arxitekturasi, op. keltirish.

[7] Bryus Shnayer, Xavfsizlik patch yugurish yo'lagi (2001)

[Klein_EHACDEEKNSTW_09-8] Klayn, Gervin; Elfinston, Kevin; Xeyzer, Gernot; Andronik, iyun; Xo'roz, Devid; Derrin, Filipp; Elkaduve, Dammika; Engelxardt, Kay; Kolanski, Rafal; Norris, Maykl; Syuell, Tomas; Tuch, Xarvi; Uinvud, Simon (oktyabr 2009). "seL4: OS yadrosining rasmiy tekshiruvi" (PDF). Operatsion tizim tamoyillari bo'yicha 22-ACM simpoziumi. Big Sky, Montana, AQSh. 207-220 betlar.

[9] Endryu S. Tanenbaum, Tanenbaum-Torvalds bahslari, II qism (2006 yil 12-may)

[10] AIX 4.3 Xavfsizlik elementlari, 2000 yil avgust, 6-bob.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]