Multiple Independent Levels of Security
Der Begriff Multiple Independent Levels of Security (MILS) bezeichnet eine Architektur für hochsichere (englisch: high-assurance) Computersysteme.
Technischer Hintergrund
MILS greift auf die Konzepte der Datenseparation bzw. Datenisolation (englisch: data isolation), Informationsflusskontrolle (englisch: control of information flow), periodische Verarbeitung (englisch: periods processing) und Schadensbegrenzung (englisch: damage limitation) zurück. Auf Grundlage dieser vier Konzepte kann die Kernsystemsoftware mathematisch verifiziert werden.[1] Entsprechend ihrer Vertrauenswürdigkeit findet eine Trennung einzelner Komponenten voneinander statt. Dies erlaubt den Einsatz von sowohl nicht-vertrauenswürdigen als auch vertrauenswürdigen Komponenten (englisch: multilevel security (MLS)).[2]:610
Es gibt drei verschiedene Schichten: den MILS Separation Kernel (auch Partitioning Kernel genannt), die Middleware und die Application. In jeder einzelnen dieser Schichten können unterschiedliche, voneinander unabhängige Sicherheitsrichtlinien (englisch: security policies) festgelegt werden. Eine generalisierte Vorgabe der Richtlinien durch den Kernel wird so umgangen.[2]:610
Geschichte
John Rushby schlug 1981 in seinem Paper Design and Verification of Secure Systems erstmals eine Architektur mit Nutzung eines Sicherheitskernels (englisch: „security kernel“) vor. Dabei würde die Verifikation von ausführenden Komponenten von der Verifikation des Sicherheitskernels separiert. Diese Aufgabe würde durch eine neue verifizierende Technik mit dem Namen „proof of separability“ erfüllt werden.[3]:17 Dieses sehr ähnliche Prinzip wurde für das MILS-Konzept genutzt.
Verwendung
Einige kommerzielle Echtzeitbetriebssystem (RTOS)-Anbieter wie Green Hills Software, LynuxWorks, SYSGO und Wind River Systems bieten MILS-kompatible Betriebssysteme an.[1] MILS-Architekturen finden zum Beispiel in mikrokernbasierten, kryptografisch abgesicherten Smartphones für Regierungen Verwendung.
Dazu zählt das Secure Microkernel-Konzept nebst Android-Smartphone der Trust2Core GmbH, einem Spin-off der Telekom Innovation Laboratories (T-Labs).[4] Das Konzept basiert auf einem L4 (Mikrokernel)-System. Das System für die Sichere mobile Kommunikation (SiMKo) verwendet das Trust2Core-Konzept.
Siehe auch
Ein älteres Architekturkonzept der Systemsicherheit stellt das Bell-LaPadula-Sicherheitsmodell von 1973 dar, auf welches die Theorien des amerikanischen Orange Book (TCSEC) aufbauen.[1] Weitere Konzepte sind unter Multi-Level-Sicherheitssysteme (MLS) zu finden.
Einzelnachweise
- R. William Beckwith, W. Mark Vanfleet, Lee MacLaren: High Assurance Security/Safety for Deeply Embedded, Real-time Systems. In: Embedded Systems Conference, 2004. ESC-247 & ESC-267.
- Gordon M. Uchenick, W. Mark Vanfleet: Multiple Independent Levels Of Safety And Security: High Assurance Architecture For MSLS/MLS. In: Military Communications Conference, 2005. MILCOM 2005. IEEE. Nr. 1, 2005, S. 610–614, ISBN 0-7803-9393-7
- John Rushby: Design and Verification of Secure Systems. (PDF; 196 kB) In: Proc. ACM Symposium on Operating System Principles. Nr. 5, 1981, S. 12–21.
- Trust2Core. Höchste Sicherheit und maximaler Spaß in einem Gerät. In: Telekom Innovation Laboratories. 2013, archiviert vom am 26. Januar 2013; abgerufen am 22. Mai 2013.