Trusted Extensions ソフトウェアは、セキュリティーの見地から、送信経路の適切さを判定します。ソフトウェアは「認可検査」と呼ばれる一連のテストを、発信元ホスト、宛先ホスト、および中間ゲートウェイで実行します。
次の説明では、ラベル範囲の認可検査はセキュリティーラベルセットの検査も意味します。
認可検査では、ラベル範囲と CIPSO ラベル情報が確認されます。経路のセキュリティー属性は、経路指定テーブルのエントリから取得されるか、エントリにセキュリティー属性がない場合はゲートウェイのセキュリティーテンプレートから取得されます。
通信の着信時には、Trusted Extensions ソフトウェアは可能であればパケット自体からラベルを取得します。パケットからのラベルの取得は、ラベルをサポートするシステムからメッセージが送信されている場合にのみ可能です。パケットからラベルを取得できない場合は、トラステッドネットワークデータベースファイルからデフォルトラベルがメッセージに割り当てられます。これらのラベルは認可検査時にも使用されます。Trusted Extensions は、発信メッセージ、転送メッセージ、および着信メッセージに対して複数の検査を実施します。
送信側プロセスまたは送信側ゾーンで、次の認可検査が実行されます。
すべての宛先について、データのラベルが、送信経路の次のホップ (最初のホップ) のラベル範囲内にある必要があります。また、ラベルは 1 ホップ目のゲートウェイのセキュリティー属性に含まれる必要があります。
すべての宛先について、発信パケットの DOI が宛先ホストの DOI に一致している必要があります。DOI は、1 ホップ目のゲートウェイを含め、経路に沿ったすべてのホップの DOI にも一致する必要があります。
宛先ホストがラベルなしホストの場合、次のいずれかの条件を満たす必要があります。
送信側ホストのラベルが、宛先ホストのデフォルトラベルに一致する必要がある。
送信側ホストにラベル間通信を行う権限が与えられ、送信側のラベルが宛先のデフォルトラベルよりも優位である。
送信側ホストにラベル間通信を行う権限が与えられ、送信側のラベルが ADMIN_LOW である。つまり、送信側が大域ゾーンから送信を行っている。
最初のホップ検査は、メッセージが任意のネットワーク上のホストからゲートウェイを経由して別のネットワーク上のホストに送信されているときに行われます。
Trusted Extensions ゲートウェイシステムでは、次のホップのゲートウェイに対して認可検査が実行されます。
着信パケットにラベルがない場合、パケットは tnrhdb エントリから発信元ホストのデフォルトラベルを継承します。それ以外の場合、パケットは指定された CIPSO ラベルを受け取ります。
パケット転送の検査は、発信元の認可と同様に処理されます。
すべての宛先について、データのラベルは次のホップのラベル範囲内にある必要があります。また、ラベルは次のホップのホストのセキュリティー属性に含まれる必要があります。
すべての宛先について、発信パケットの DOI が宛先ホストの DOI に一致している必要があります。DOI は、次のホップのホストの DOI にも一致する必要があります。
ラベルなしパケットのラベルは、宛先ホストのデフォルトラベルに一致する必要があります。
CIPSO パケットのラベルは、宛先ホストのラベル範囲内にある必要があります。
Trusted Extensions ホストがデータを受信するときに、ソフトウェアは次の検査を実行します。
着信パケットにラベルがない場合、パケットは tnrhdb エントリから発信元ホストのデフォルトラベルを継承します。それ以外の場合、パケットは指定された CIPSO ラベルを受け取ります。
パケットのラベルと DOI は、宛先ゾーンまたは宛先プロセスのラベルおよび DOI と一致する必要があります。プロセスがマルチレベルポートで待機している場合は例外です。プロセスにラベル間通信が許可され、プロセスが大域ゾーンで実行されているか、パケットのラベルよりも優位なラベルを持つ場合、待機中のプロセスはパケットを受信できます。