|
Les quatre caractéristiques d'un moniteur de référence, telles que définies par le modèle TCB (Trusted Computing Base), sont :
1. Médiation complète : Le moniteur de référence doit arbitrer *toutes* les demandes d'accès aux objets. Aucun accès ne doit être accordé sans l'autorisation explicite du moniteur de référence. Cela signifie que chaque tentative d'accès à une ressource protégée doit passer par le moniteur de référence.
2. Inviolable : Le moniteur de référence lui-même doit être protégé contre toute modification ou altération non autorisée. Si le moniteur de référence pouvait être compromis, la sécurité qu’il offre n’aurait aucun sens.
3. Vérifiabilité : La conception et la mise en œuvre du moniteur de référence doivent être vérifiables. Cela signifie qu'il devrait être possible de prouver formellement que le moniteur de référence applique correctement la politique de sécurité qu'il est conçu pour mettre en œuvre. Cela implique généralement une analyse et des tests mathématiques rigoureux.
4. Séparation : Le moniteur de référence doit être séparé des autres composants du système. Cette isolation empêche une partie compromise du système d'interférer directement avec le fonctionnement du moniteur de référence. L'isolation est cruciale pour l'intégrité du moniteur de référence.
Ces quatre caractéristiques sont cruciales pour garantir qu’un moniteur de référence peut fournir un environnement fiable et sécurisé. Notez que la création d’un moniteur de référence véritablement inviolable constitue un défi de taille, et que les mises en œuvre pratiques reposent souvent sur des mesures de sécurité robustes et une approche de défense à plusieurs niveaux.
|
