通用访问控制框架LSM的研究

由于用户安全需求的多样性与复杂性,如何构建一个支持多安全策略的访问控制框架成为操作系统安全的焦点.Linux安全模块是一种新的通用访问控制框架,它为用户定制自己的安全模块提供了一个通用接口.文中通过研究通用访问控制框架的发展历程,详细论述了LSM访问控制框架的原理,及如何在LSM下编写自己的安全模块.     

LSM访问控制研究

访问控制是操作系统的重要安全机制，Linux安全模块(LSM)在内核为增强型访问控制提供了一个灵活通用的支持框架。该文介绍了LSM设计，分析了其访问控制机制，并对其不足之处进行了讨论。     

基于LSM架构对Linux文件系统进行安全性增强

Linux内核只提供了经典的UNIX自主访问控制。Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来。首先时Linux安全模块(LSM)的实现机制和接口进行了介绍,然后提出了一种时Linux文件系统的基于LSM架构的强访问控制增强,同时改进了LSM机制引入了多级安全策略的机制。     

基于LSM的仪器系统网络安全访问控制的研究

Linux内核只提供经典的自主访问控制.Linux安全模块(LSM)足一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以可加载的模块形式实现出来.本文指出LSM架构完全适合对仪器系统的网络安全访问控制,并讨论了一种细粒度的强制访问控制策略在其上的实现.     

Linux安全模块框架的研究和安全日志的实现

Linux安全模块(LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口,已有多种不同的访问控制模型可以装载内核模块的形式在LSM框架上实现。对LSM的工作机制进行了研究,并实现了安全日志策略。     

支持动态多策略的安全体系结构应用研究

现有的主流Linux操作系统不足以提供健壮的访问控制机制，远远不能满足日益增长的多样化安全需求。介绍并分析了一种支持动态多安全策略的安全体系结构——Flask和当前流行的可支持动态加载多种安全模块的通用访问控制框架——LSM．结合一个基于Linux的高安全等级操作系统SecLinux的开发，阐述了如何将二者合理有效地结合应用于具体的工程实现。     

一种基于Linux安全模块的第三方日志系统

Linux安全模块(Linux SecurityModule,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口。通过LSM可以非常方便地实现对内核数据的各种访问控制机制。虽然LSM没有显式地提供对安全审计的支持,但它所提供的各种接口十分有利于记录各种内核信息。主要研究在LSM框架基础上的日志记录和审计系统。通过对LSM的研究,设计了一个第三方日志系统,实现了信息记录和安全审计。     

Windows访问控制实施框架的研究与设计

在目前的研究中,多采用访问控制安全模型来增强系统安全。Linux下主要是基于LSM实现已有的众多安全模型。但Windows下的各安全项目底层实现方式各不相同,缺乏通用的访问控制实施框架。针对Windows下安全项目的需要,提出了一套通用的Windows实施访问控制策略的框架。它通过修改内核数据结构来存储安全标签,能够提供一系列安全Hook供安全模块使用,可以用作安全模块研究与开发的平台。     

Linux安全模块的设计与实现

Linux安全模块是为Linux内核开发的一款轻量级的通用访问控制框架,这种访问控制框架能使许多的访问控制模型作为动态内核模块执行.文中阐述了Linux安全模块的设计思路以及实现方法,并且讨论了如何在对Linux内核影响最小的情况下探索一个有效的解决方案.     

安全操作系统基于ACL的自主访问控制机制的设计与实现

自主访问控制机制是安全操作系统必不可少的安全机制之一，而传统的文件权限保护模式不能提供更细粒度的自主访问控制，无法满足越来越高的系统安全的要求。本文探讨了基于访问控制表的自主访问控制机制的设计与实现的主要思想，并提出了利用文件系统的扩展属性机制存储访问控制表以及将自主访问控制机制实现为一个基于LSM安全框架的可加载模块的方法。     

基于LSM的进程行为监控技术研究

LSM是一款支持多种安全策略的、为Linux内核开发的轻量级通用访问控制框架,这种访问控制框架能使各类访问控制模型作为动态内核模块执行。本文简要介绍了LSM的相关背景和设计思想,讨论了LSM的具体实例,并介绍了我们的设计方案。     

基于LSM框架构建Linux安全模块

操作系统安全是信息安全的一个重要方向.Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持.首先介绍了LSM的实现机制,详细分析了它的关键技术.然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发.介绍了安全模型构建的过程,并对它的安全性进行了讨论.使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性.     

基于LSM的分布式强制访问控制的设计与实现

LSM(Linux Security Modules)是得到Linus Torvalds本人支持的安全访问控制的底层架构,强制访问控制是操作系统安全增强技术中经常采用的方式。为了在基于Linux的集群系统上,实现节点间信息的安全流动,在简要介绍LSM和强制访问控制的原理的基础上,讨论了如何拓展LSM及其相应的安全政策来实现集群系统节点间的安全访问控制,并设计和实现了基于LSM的分布式强制访问控制。最后指出了这一实现在性能上的缺陷和进一步改进的方向。     

利用LSM框架实现基于角色的访问控制

传统的Linux操作系统只提供有限的访问控制机制,缺乏对现有访问控制模型的有效支持,为了克服Linux在安全访问控制方面的不足,增强安全管理的灵活性和易用性,本文深入研究了LSM（Linux Security Module）安全访问框架和基于角色的访问控制（RBAC-Role-Based Access Control）技术,提出了一种利用LSM框架实现RBAC的方法,并详细讨论了在Linux环境中有关实现问题。     

基于LSM的安全访问控制实现

LSM是Linus Torvakls提出来的支持多种安全策略的底层架构。而细粒度的自主访问控制和强制访问控制是安全操作系统中必不可少的一部分。文章介绍了LSM项目的结构与设计，并以此为基础讨论了细粒度的自主访问控制和强制访问控制在其上的实现。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

Reflections on the virtues of modularity: a case study in linux security modules

Developing a modular system that properly supports a range of security models is challenging. The work presented here details our experiences with the modular Linux security framework called Linux Security Modules, or LSMs. Throughout our experiences we discovered that the developers of the LSM framework made certain tradeoffs for speed and simplicity during implementation, and consequently leaving the framework incomplete. Our experiences show at which points the theory of the LSM differs from reality, and details how these differences play out when developing and using a custom LSM. Copyright © 2009 John Wiley & Sons, Ltd.     

通过扩展LSM框架构建审计支持机制

LSM是纳入到Linux内核的一个安全模型支持框架,它通过提供钩子机制来支持安全机制的实现。审计机制是安全操作系统的重要组成部分。然而,LSM的现有设计主要考虑的是对访问控制的支持,对审计机制的支持存在着明显的不足。把审计支持纳入到LSM框架中,为审计系统或者是入侵检测系统提供统一的支持接口,对安全操作系统的研究有重要意义。本文提出一个扩展LSM框架的方法,以增强LSM框架对审计机制的支持能力。本文论述了扩展LSM框架实现审计的方法,以及如何在LSM框架中加入审计钩子及在内核函数中插入钩子函数。依照这种方法,作为安全操作系统SECIMOS开发工作的一个重要组成部分,我们在Linux内核中实现了一个审计系统,并对其性能进行了分析。