Trusted Extensions システムでのすべての通信は、IPsec で保護された通信も含め、セキュリティーラベルの認可検査に合格する必要があります。これらの検査については、Trusted Extensions の認可検査で説明しています。
これらの検査をパスする必要のある、ラベル付きゾーン内のアプリケーションからの IPsec パケットのラベルは、内部ラベル、ワイヤーラベル、および鍵管理ラベルです。
内部ラベル – IPsec の AH または ESP ヘッダーが適用される前の暗号化されていないメッセージデータのラベル。SO_MAC_EXEMPT ソケットオプション (MAC-exempt) またはマルチレベルポート (MLP) 機能を使用する場合、このラベルはアプリケーションセキュリティーラベルと異なる可能性があります。ラベルによって制約されるセキュリティーアソシエーション (SA) と IKE 規則を選択した場合、IPsec と IKE でこの内部ラベルが使用されます。
デフォルトでは、内部ラベルはアプリケーションセキュリティーラベルと同じになります。通常、両端のアプリケーションのラベルは同じになります。ただし、MAC-exempt または MLP 通信ではこの条件が成立しない可能性があります。IPsec 構成設定では、内部ラベルをネットワーク経由でどのようにして伝達するかを定義できます。つまり、この設定ではワイヤーラベルを定義できます。IPsec 構成設定では、内部ラベルの値は定義できません。
ワイヤーラベル – IPsec の AH または ESP ヘッダーが適用されたあとの暗号化されたメッセージデータのラベル。IKE および IPsec 構成ファイルの内容によっては、ワイヤーラベルは内部ラベルと異なる可能性があります。
鍵管理ラベル – 2 つのノード間のすべての IKE ネゴシエーションは、ネゴシエーションを起動したアプリケーションメッセージのラベルにかかわらず、シングルラベルで制御されます。IKE ネゴシエーションのラベルは、/etc/inet/ike/config ファイル内で IKE 規則ごとに定義されます。