Trusted Extensions 中的路由概述

在 Trusted Extensions 中，不同网络上主机之间的路由必须在传输中的每个步骤中保持安全性。Trusted Extensions 向 Oracle Solaris OS 中的路由协议添加了扩展安全属性。与 Oracle Solaris OS 不同，该 Trusted Extensions 版本不支持动态路由。有关指定静态路由的详细信息，请参见 route(1M) 手册页中的 -p 选项。

网关和路由器路由包。在此讨论中，术语“网关”和“路由器”可以交换使用。

对于同一子网上主机之间的通信，仅在端点执行认可检查，因为其中没有涉及到路由器。在源主机上将执行标签范围检查。如果接收主机运行的是 Trusted Extensions 软件，还将在目标主机上执行标签范围检查。

源主机和目标主机位于不同的子网上，包将从源主机发送至网关。选定路由后，会在源主机上检查目标主机和下一中继站网关的标签范围。网关将包转发至其中连接了目标主机的网络。包可能会在抵达目标主机之前通过数个网关。

路由背景

在 Trusted Extensions 网关上，在某些情况下执行标签范围检查。在两个无标签主机之间路由包的 Trusted Extensions 系统将比较源主机的缺省标签与目标主机的缺省标签。两个无标签主机共享缺省标签时，将路由包。

每个网关都维护到所有目标主机的路由列表。标准 Oracle Solaris 路由会进行选择以优化路由。Trusted Extensions 提供了其他软件以检查适用于路由选择的安全要求。不满足安全要求的 Oracle Solaris 选择将被跳过。

Trusted Extensions 中的路由表项

Trusted Extensions 中的路由表项可以包含安全属性。安全属性可以包括 cipso 关键字。安全属性必须包括最大标签、最小标签和 DOI。

对于不提供安全属性的项，将使用网关安全模板中的属性。

Trusted Extensions 认可检查

Trusted Extensions 软件将针对安全目的确定路由的适用性。该软件在源主机、目标主机以及中间网关上运行一系列称为认可检查的测试。

认可检查将验证标签范围和 CIPSO 标签信息。从路由表项获取路由的安全属性，该项无安全属性，从网关的安全模板获取。

对于传入通信，如有可能，Trusted Extensions 软件将从包自身获取标签。仅当从支持标签的系统发送消息时才可以从包获取标签。无法从包获得标签时，从可信联网数据库文件将缺省标签指定给消息。然后，在认可检查中使用这些标签。Trusted Extensions 将对传出消息、转发的消息以及传入的消息强制执行若干检查。

源认可检查

对发送进程或发送区域执行以下认可检查：

• 对于所有目标，数据的标签必须位于路由中下一中继站（即第一个中继站）的标签范围内。而且，标签必须包含在第一中继站网关的安全属性内。

• 对于所有目标，传出包的 DOI 必须与目标主机的 DOI 相匹配。DOI 还必须与路由中所有中继站（包括其第一中继站网关）的 DOI 相匹配。

• 目标主机是无标签主机时，必须满足以下条件之一：

  • 发送主机的标签必须与目标主机的缺省标签相匹配。

  • 发送主机被授权执行跨标签通信，发送者的标签支配目标的缺省标签。

  • 发送主机被授权执行跨标签通信，发送者的标签是 ADMIN_LOW。即，发送者从全局区域进行发送。

网关认可检查

在 Trusted Extensions 网关系统上，针对下一中继站网关执行以下认可检查：

• 如果传入包没有标签，包将从 tnrhdb 条目继承源主机的缺省标签。否则，包将接收指示的 CIPSO 标签。

• 针对转发包的检查操作类似于源认可：

  • 对于所有目标，数据的标签必须位于下一中继站的标签范围内。而且，标签必须包含在下一中继站主机的安全属性内。

  • 对于所有目标，传出包的 DOI 必须与目标主机的 DOI 相匹配。DOI 还必须与下一中继站主机的 DOI 相匹配。

  • 无标签包的标签必须与目标主机的缺省标签相匹配。

  • CIPSO 包的标签必须位于目标主机的标签范围内。

目标认可检查

Trusted Extensions 主机接收数据时，软件将执行以下检查：

• 如果传入包没有标签，包将从 tnrhdb 条目继承源主机的缺省标签。否则，包将接收指示的 CIPSO 标签。

• 包的标签和 DOI 必须与目标区域或目标进程的标签和 DOI 一致。进程正在侦听多级别端口的情况除外。侦听进程可以接收包，前提是该进程被授权执行跨标签通信，并且该进程位于全局区域中或者具有的标签可以支配该包的标签。