Trusted Extensions assigne des attributs de sécurité à des zones, des hôtes et des réseaux. Ces attributs garantissent que les fonctions de sécurité suivantes sont appliquées sur le réseau :
Les données sont correctement étiquetées dans les communications réseau.
Les règles du contrôle d'accès obligatoire (MAC) sont appliquées lorsque les données sont envoyées ou reçues par le biais d'un réseau local et lorsque des systèmes de fichiers sont montés.
Les règles MAC sont appliquées lorsque des données sont acheminées vers des réseaux distants.
Les règles MAC sont appliquées lorsque des données sont acheminées vers des zones.
Dans Trusted Extensions, les paquets réseau sont protégés par le MAC. Les étiquettes sont utilisées pour les décisions MAC. Les données sont étiquetées explicitement ou implicitement à l'aide d'une étiquette de sensibilité. Une étiquette contient un champ ID, un champ classification ou "niveau" et un champ compartiment ou "catégorie". Les données sont soumises à un contrôle d'accréditation. Ce contrôle permet de déterminer si l'étiquette est bien formée et si elle est comprise dans la plage d'accréditations de l'hôte récepteur. L'accès est accordé aux paquets bien formés compris dans la plage d'accréditations de l'hôte récepteur.
Les paquets IP échangés entre des systèmes de confiance peuvent être étiquetés. L'étiquetage d'un paquet permet de classer, de séparer et d'acheminer des paquets IP. Les décisions de routage comparent l'étiquette de sensibilité des données et l'étiquette de la destination.
Trusted Extensions prend en charge les étiquettes sur les paquets IPv4 et IPv6.
Pour les paquets IPv4, Trusted Extensions prend en charge les étiquettes CIPSO (Commercial IP Security Option).
Pour les paquets IPv6, Trusted Extensions prend en charge les étiquettes CALIPSO (Common Architecture Label IPv6 Security Option).
Si vous devez interopérer avec les systèmes d'un réseau IPv6 CIPSO, reportez-vous à la section Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions.
Sur un réseau de confiance, l'étiquette est, en règle générale, générée par un hôte émetteur et traitée par l'hôte récepteur. Cependant, un routeur de confiance est également susceptible d'ajouter ou de retirer des étiquettes lors du transfert de paquets au sein d'un réseau de confiance. Une étiquette de sensibilité est mappée vers une étiquette CALIPSO ou CIPSO avant la transmission. Cette étiquette est intégrée dans le paquet IP, qui est ensuite un paquet étiqueté. En règle générale, l'expéditeur et le destinataire d'un paquet opèrent à la même étiquette.
Le logiciel de gestion de réseaux de confiance veille à ce que la stratégie de sécurité de Trusted Extensions soit appliquée même lorsque les sujets (processus) et les objets (données) se trouvent sur des hôtes différents. La gestion de réseaux Trusted Extensions assure le respect du MAC dans des applications distribuées.