Ein Referenzmonitor ist eine entscheidende Komponente eines sicheren Systems, das als zentraler Kontrollpunkt für alle Zugriffsanforderungen fungiert. Es erzwingt die Sicherheitsrichtlinie, indem alle Zugriffsanfragen zwischen Probanden (Benutzern oder Prozessen) und Objekten (Dateien, Datenbanken usw.) vermittelt werden. Im Wesentlichen ist es der Gatekeeper, der entscheidet, ob ein Subjekt eine bestimmte Aktion auf ein bestimmtes Objekt ausführen darf.
Hier ist eine Aufschlüsselung der wichtigsten Eigenschaften:
* Mediation: Der Referenzmonitor liegt zwischen dem Subjekt und dem Objekt und fängt jede Zugriffsanforderung ab. Es gewährt oder verweigert den Zugriff auf das Objekt selbst nicht direkt; Stattdessen werden die Sicherheitsrichtlinien konsultiert, um die entsprechende Antwort zu bestimmen.
* Vollständige Mediation: Dies ist eine kritische Anforderung. Jede Zugriffsanforderung muss ausnahmslos vom Referenzmonitor überprüft werden. Jegliche Lücke gefährdet die Sicherheit des gesamten Systems.
* Isolierung und manipulationssicher: Der Referenzmonitor selbst muss vor nicht autorisierter Modifikation oder Umgehung geschützt werden. Der Code und die Daten sollten manipulationssicher sein, um die Integrität und Zuverlässigkeit zu gewährleisten.
* Überprüfbarkeit: Die vom Referenzmonitor ersetzte Sicherheitsrichtlinie sollte überprüfbar sein, was bedeutet, dass ihre Korrektheit durch formale Methoden oder strenge Tests bestätigt werden kann. Dies trägt dazu bei, dass die Zugangskontrollmechanismen tatsächlich das tun, was sie tun sollen.
Stellen Sie sich es wie einen Türsteher in einem Nachtclub vor. Der Türsteher (Referenzmonitor) überprüft alle (Probanden) mit einer Liste der zulässigen Gäste (Sicherheitsrichtlinien), bevor sie in den Club (Objekte) eingeben können. Wenn jemand nicht auf der Liste steht, werden er den Eintrag verweigert. Ein guter Türsteher (Referenzmonitor) ist immer wachsam und lässt niemanden den Scheck umgehen.
Referenzmonitore sind ein grundlegendes Konzept im TCB -Design (Trusted Computing Base). Während ein perfekter, vollständig manipulationssicherer Referenzmonitor theoretisch schwer zu erreichen ist, leitet die Prinzipien die Gestaltung und Implementierung sicherer Systeme. Sie werden häufig im Rahmen der Sicherheitskerne von Betriebssystemen oder als dedizierte Sicherheitsmodule implementiert.