Die vier Merkmale eines Referenzmonitors, wie vom TCB -Modell (Trusted Computing Base) definiert, sind:
1. Vollständige Mediation: Der Referenzmonitor muss * alle * Zugriffsanforderungen an Objekte vermitteln. Ohne die ausdrückliche Erlaubnis des Referenzmonitors sollte kein Zugang gewährt werden. Dies bedeutet, dass jeder Versuch, auf eine geschützte Ressource zuzugreifen, den Referenzmonitor durchlaufen muss.
2. Manipulationssicher: Der Referenzmonitor selbst muss vor nicht autorisierter Modifikation oder Änderung geschützt werden. Wenn der Referenzmonitor beeinträchtigt werden könnte, wäre die Sicherheit, die er bietet, bedeutungslos.
3. Überprüfbarkeit: Das Design und die Implementierung des Referenzmonitors müssen überprüfbar sein. Dies bedeutet, dass es möglich sein sollte, formell zu beweisen, dass der Referenzmonitor die für die Implementierung entwickelte Sicherheitsrichtlinie korrekt erzwingt. Dies beinhaltet typischerweise eine strenge mathematische Analyse und Tests.
4. Trennung: Der Referenzmonitor sollte von den anderen Komponenten des Systems getrennt sein. Diese Isolation verhindert, dass ein gefährdeter Teil des Systems den Betrieb des Referenzmonitors direkt beeinträchtigt. Die Isolation ist entscheidend für die Integrität des Referenzmonitors.
Diese vier Merkmale sind entscheidend dafür, dass ein Referenzmonitor eine vertrauenswürdige und sichere Umgebung bieten kann. Beachten Sie, dass das Erstellen eines wirklich manipulatorischen Referenzmonitors eine bedeutende Herausforderung ist und praktische Implementierungen häufig auf robusten Sicherheitsmaßnahmen und einem geschichteten Ansatz zur Verteidigung beruhen.
