Trusted Extensions 软件将针对安全目的确定路由的适用性。该软件在源主机、目标主机以及中间网关上运行一系列称为认可检查的测试。
认可检查将验证标签范围和 CALIPSO 或 CIPSO 标签信息。从路由表项获取路由的安全属性,该项无安全属性,从网关的安全模板获取。
对于传入通信,如有可能,Trusted Extensions 软件将从包自身获取标签。仅当从支持标签的主机发送消息时才可以从包获取标签。无法从包获得标签时,从安全模板将缺省标签指定给消息。然后,在认可检查中使用这些标签。Trusted Extensions 将对传出消息、转发的消息以及传入的消息强制执行若干检查。
对发送进程或发送区域执行以下认可检查:
对于所有目标,传出包的 DOI 必须与目标主机的 DOI 相匹配。DOI 还必须与路由中所有中继站(包括其第一中继站网关)的 DOI 相匹配。
对于所有目标,传出包的标签必须位于路由中下一中继站(即第一个中继站)的标签范围内。而且,标签必须包含在第一中继站网关的安全属性内。
目标主机是无标签主机时,必须满足以下条件之一:
发送主机的标签必须与目标主机的缺省标签相匹配。
发送主机被授权执行跨标签通信,发送者的标签支配目标的缺省标签。
发送主机被授权执行跨标签通信,发送者的标签是 ADMIN_LOW。即,发送者从全局区域进行发送。
在 Trusted Extensions 网关系统上,针对下一中继站网关执行以下认可检查:
如果传入包没有标签,包将从安全模板继承源主机的缺省标签。否则,包将接收在 CALIPSO 或 CIPSO 选项中指示的标签。
针对转发包的检查操作类似于源认可,如下所示:
对于所有目标,传出包的 DOI 必须与目标主机的 DOI 相匹配。DOI 还必须与下一中继站主机的 DOI 相匹配。
对于所有目标,传出包的标签必须位于下一中继站的标签范围内。而且,标签必须包含在下一中继站主机的安全属性内。
无标签包的标签必须与目标主机的缺省标签相匹配。
有标签包的标签必须位于目标主机的标签范围内。
期望从 adaptive 主机转发包的有标签网关必须使用 netif 主机类型模板配置其传入接口。有关 adaptive 和 netif 主机类型的定义,请参见安全模板中的主机类型和模板名称。
Trusted Extensions 系统接收数据时,软件将执行以下检查:
如果传入包没有标签,包将从安全模板继承源主机的缺省标签。否则,包将接收在有标签选项中指示的标签。
包的标签和 DOI 必须与目标区域或目标进程的标签和 DOI 一致。进程正在侦听多级别端口的情况除外。侦听进程可以接收包,前提是该进程被授权执行跨标签通信,并且该进程位于全局区域中或者具有的标签可以支配该包的标签。