L4
Aus Lava Nucleus
Sicherheitsmechanismen
Problem:
- Einerseits müssten bei jeder IPC Zugriffslisten kontrolliert werden
- Andererseits ist die Kontrolle aufwendig
Lösung:
- Clan
- Eine Menge von Tasks bildet einen Clan, innerhalb des Clans
kann ohne einschränkungen Kommuniziert werden
Sobald eine Nachricht außerhalb des Clans gesendet wird,
wird sie an den Chief umgeleitet.
Clans können geschachtelt sein.
- Chief
- Der Chief kontrolliert die IPC (Id und Inhalt).
Somit können die Kontrollen in einen Programm auf Nutzer ebene gemacht werden.
Der Clan wird mit einer ID als Teil des Task-Namens repräsentiert.
Kosten: Intra-Clan-Kommunikation kostet 1% des Aufwands, Komminikation
aus dem Klan heraus selten.
Konzepte:
- Clan per Machine
-
- Remote Kommunikation wird so automatisch über den Chief abgewickelt
- Lokale Kommunikation ist effizient über den Kern
Ein CORBA-ORB kann also gut mit dem Chief-Konzept realisiert werden.
- Clan per System Version
- Ein Chief setzt dann Nachreichten zwischen verschiedenen Systemversionen
um
- Clan per Nutzer
- So können nutzer untereinander abgeschirmet werden. dies dient zum Bau
von Sicherheitssystemen
- Clan per Task
-
Debugging und Überwachung von anderen Programmen, der Debugger ist dann der Chief
Mechanismus soll durch Transparentes Monitoring ersetzt werden,
[ElphinstoneHeiser2013] sschreibt,dies sei auch eine vom Kern erzwungene Politik.
Der Clan/Chief-Mechanismus wurde nun zugusten einer Capability-basierten Zugriffskontrolle ersetzt (z.B. in Fiasco.OC)
Informatik- und Netzwerkverein Ravensburg e.V
Rudolf Weber