在資訊安全設計中,Complete Mediation(完全調停)要求每一次資源存取都必須通過驗證,沒有例外、沒有捷徑。一旦放行任何未經驗證的請求,整個存取控制體系便形同虛設。
什麼是 Complete Mediation?
Complete Mediation 是由 Saltzer 與 Schroeder 於 1975 年提出的安全設計原則之一,也是參考監視器(Reference Monitor)的核心設計要求。其核心主張很簡單:每一次對受保護資源的存取請求,都必須即時經過存取控制機制驗證,不得依賴先前的授權結果或快取狀態跳過驗證流程。這與「驗證一次即可信任」的邏輯相反,強調的是持續性、無例外的安全把關。
此原則特別針對快取繞過(cache bypass)問題。若系統將某次授權結果快取,當使用者權限已被撤銷,快取卻仍允許其存取,漏洞便於此產生。Complete Mediation 明確禁止這類設計疏失。
實務中的挑戰與應對
在現實系統中,每次請求都即時驗證會帶來效能壓力。開發者常以快取 Token、Session 授權結果來提升效能,卻在無意間違反了此原則。正確的做法是在效能與安全之間取得平衡:例如使用短效期 Token(Short-lived Token),強制系統定期重新驗證身分與權限,而非無限期信任初次授權。
零信任架構(Zero Trust Architecture)正是 Complete Mediation 的現代實踐體現。其核心口號「永不信任,持續驗證(Never Trust, Always Verify)」直接呼應了此原則,要求每次網路請求、每次資源存取都經過身分驗證與授權確認。
💡 重點整理
- 零例外原則:每次存取請求皆須即時驗證,無論請求來源或頻率。
- 禁止快取繞過:權限變更後,舊快取授權不得繼續生效。
- 短效期憑證:以限時 Token 替代長效授權,確保定期重新驗證。
- 零信任的根基:Zero Trust 架構是此原則在現代系統的直接延伸。
Complete Mediation 看似嚴苛,卻是構建可信系統不可妥協的底線。在權限隨時可能變動的現代環境中,持續驗證才能真正保障存取控制的一致性與完整性。
📚 參考文獻
- Saltzer, J. H., & Schroeder, M. D. (1975). The Protection of Information in Computer Systems. Proceedings of the IEEE — 提出 Complete Mediation 等八大安全設計原則的原始論文。
- NIST SP 800-207: Zero Trust Architecture(2020)— 說明零信任架構如何實踐持續驗證原則。
https://csrc.nist.gov/publications/detail/sp/800-207/final
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言