Trusted Extensions は、ゾーン、ホスト、およびネットワークにセキュリティー属性を割り当てます。これらの属性により、ネットワークで次のセキュリティー機能が実施されます。
ネットワーク通信で、データに適切なラベルが付けられます。
必須アクセス制御 (MAC) の規則が、ローカルネットワークを通してデータを送受信するとき、およびファイルシステムをマウントするときに実施されます。
データが遠隔地のネットワークに経路指定されるときに、MAC の規則が実施されます。
データがゾーンに経路指定されるときに、MAC 規則が実施されます。
Trusted Extensions では、ネットワークパケットは MAC によって保護されます。MAC に関する決定には、ラベルが使用されます。データには、機密度を表すラベルが明示的または暗黙的に付けられます。ラベルには、ID フィールド、格付け (「レベル」) フィールド、およびコンパートメント (「カテゴリ」) フィールドがあります。データは、認可検査に合格する必要があります。この検査は、ラベルが適格な形式であるかどうか、およびラベルが受信側ホストの認可範囲内にあるかどうかを確認します。受信側ホストの認可範囲内にある適格な形式のパケットは、アクセスが許可されます。
信頼されたシステム間で交換されるIPパケットには、ラベルを付けることができます。パケットのラベルは、IP パケットの分類、分離、および経路指定を行います。ルーティングの決定では、データの機密ラベルが宛先のラベルと比較されます。
Trusted Extensions は IPv4 および IPv6 パケットのラベルをサポートします。
IPv4 パケットの場合、Trusted Extensions は CIPSO (Commercial IP Security Option) ラベルをサポートします。
IPv6 パケットの場合、Trusted Extensions は CALIPSO (Common Architecture Label IPv6 Security Option) ラベルをサポートします。
IPv6 CIPSO ネットワーク上のシステムと相互運用する必要がある場合は、Trusted Extensions で IPv6 CIPSO ネットワークを構成する方法を参照してください。
一般的にトラステッドネットワークでは、ラベルは送信側ホストによって生成され、受信側ホストによって処理されます。ただし、信頼されたルーターは、トラステッドネットワークでパケットを転送するときにラベルを追加したり取り除くことができます。機密ラベルは、転送の前に CALIPSO または CIPSO ラベルにマップされます。このラベルは IP パケットに埋め込まれ、それによってパケットはラベル付きパケットになります。通常、パケットの送信側と受信側は、同じラベルで操作を行います。
トラステッドネットワークソフトウェアは、サブジェクト (プロセス) とオブジェクト (データ) が別のホストに配置されている場合でも、Trusted Extensions のセキュリティーポリシーが実施されるようにします。Trusted Extensions ネットワークは、分散型アプリケーション全体で MAC を保存します。