NetLabel 簡介

Paul Moore, paul.moore@hp.com

2006 年 8 月 2 日

概述

NetLabel 是一種機制，核心安全模組可以使用它將安全屬性附加到從使用者空間應用程式生成的傳出網路資料包，並從傳入的網路資料包中讀取安全屬性。它由三個主要組成部分組成：協議引擎、通訊層和核心安全模組 API。

協議引擎

協議引擎負責應用和檢索網路資料包的安全屬性。如果需要在網路安全屬性和主機上的屬性之間進行任何轉換，協議引擎也將處理這些任務。其他核心子系統應避免直接呼叫協議引擎，而應使用下面描述的 NetLabel 核心安全模組 API。

有關每個 NetLabel 協議引擎的詳細資訊，請參見此目錄。

通訊層

通訊層用於允許從使用者空間進行 NetLabel 配置和監視。NetLabel 通訊層使用構建在通用 NETLINK 傳輸機制之上的基於訊息的協議。這些 NetLabel 訊息的確切格式以及通用 NETLINK 族名稱可以在“net/netlabel/”目錄中作為標頭檔案中的註釋以及“include/net/netlabel.h”中找到。

安全模組 API

NetLabel 安全模組 API 的目的是為底層的 NetLabel 協議引擎提供一個協議無關的介面。除了協議獨立性之外，安全模組 API 還被設計為完全 LSM 獨立的，這應該允許多個 LSM 利用相同的程式碼庫。

有關 NetLabel 安全模組 API 的詳細資訊，請參見“include/net/netlabel.h”標頭檔案以及本目錄中的“NetLabel Linux 安全模組介面”檔案。