As quatro características de um monitor de referência, conforme definido pelo modelo de base de computação confiável (TCB), são:
1.
Mediação completa: O monitor de referência deve mediar * todas as solicitações de acesso a objetos. Nenhum acesso deve ser concedido sem a permissão explícita do monitor de referência. Isso significa que todas as tentativas de acessar um recurso protegido devem passar pelo monitor de referência.
2.
IMPRESA: O próprio monitor de referência deve ser protegido contra modificação ou alteração não autorizada. Se o monitor de referência pudesse ser comprometido, a segurança que ele fornece teria sentido.
3.
Verificabilidade: O design e a implementação do monitor de referência devem ser verificáveis. Isso significa que deve ser possível provar formalmente que o monitor de referência aplica corretamente a política de segurança projetada para implementar. Isso normalmente envolve análises e testes matemáticos rigorosos.
4.
Separação: O monitor de referência deve ser separado dos outros componentes do sistema. Esse isolamento impede que uma parte comprometida do sistema interfira diretamente na operação do monitor de referência. O isolamento é crucial para a integridade do monitor de referência.
Essas quatro características são cruciais para garantir que um monitor de referência possa fornecer um ambiente confiável e seguro. Observe que a criação de um monitor de referência verdadeiramente à prova de adulteração é um desafio significativo, e as implementações práticas geralmente dependem de medidas de segurança robustas e uma abordagem em camadas da defesa.