基于LSM的安全機制的研究.pdf

1、目前，越來越多的企業(yè)希望通過建立企業(yè)級的單點登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，建立統(tǒng)一的、基于角色的和個性化的信息訪問與集成平臺；通過實施單點登錄功能，用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的安全性和穩(wěn)定性。在上面所敘述的研究背景下，本文在對Linux操作系統(tǒng)安全現(xiàn)狀進(jìn)行了研究后指出：一方面，Linux與其他操作系統(tǒng)互聯(lián)以實現(xiàn)統(tǒng)一認(rèn)證和單點登錄等問題慢慢地被人們所重視；另一

2、方面，Linux采用的傳統(tǒng)的自主訪問控制機制(DAC)不能滿足對訪問控制進(jìn)行集中管理這一要求，急需引入一種新的訪問控制機制。 PAM(PluggableAuthenticationModule，可插拔認(rèn)證模塊)機制采用模塊化設(shè)計，使得開發(fā)人員可以輕易地在應(yīng)用程序中插入新的認(rèn)證技術(shù)。PAM將應(yīng)用程序與具體的認(rèn)證機制分離，當(dāng)系統(tǒng)改變認(rèn)證機制時，不再需要修改采用認(rèn)證機制的應(yīng)用程序，而只要由管理員配置應(yīng)用程序的認(rèn)證服務(wù)模塊，極大地提高了

3、認(rèn)證機制的通用性與靈活性。用戶可以加載第三方PAM認(rèn)證服務(wù)模塊以實現(xiàn)身份認(rèn)證機制的替換。本文詳細(xì)描述了如何基于PAM機制設(shè)計實現(xiàn)第三方PAM認(rèn)證模塊以實現(xiàn)Linux單點登錄功能。 另外，Linux所采用的傳統(tǒng)自主訪問控制機制(DAC)有明顯的缺點，比如訪問粒度太粗等。Linux安全模塊(LSM)本身不提供任何具體的安全策略，而是提供了一個通用的訪問控制框架給安全模塊，由安全模塊來實現(xiàn)具體的安全策略。LSM通過可加載內(nèi)核模塊的方法