NetLabel CIPSO/IPv4 協議引擎

Paul Moore, paul.moore@hp.com

2006 年 5 月 17 日

概述

NetLabel CIPSO/IPv4 協議引擎基於 1992 年 7 月 16 日的 IETF 商業 IP 安全選項 (CIPSO) 草案。該草案的副本可以在此目錄中找到 (draft-ietf-cipso-ipsecurity-01.txt)。雖然 IETF 草案從未成為 RFC 標準，但它已成為標記網路的事實標準，並在許多受信任的作業系統中使用。

出站資料包處理

CIPSO/IPv4 協議引擎透過將 CIPSO 標籤新增到套接字來將 CIPSO IP 選項應用於資料包。 這導致所有透過套接字離開系統的資料包都應用了 CIPSO IP 選項。 套接字的 CIPSO 標籤可以在任何時間點更改，但是，建議在建立套接字時設定它。 LSM 可以使用 NetLabel 安全模組 API 設定套接字的 CIPSO 標籤； 如果 NetLabel“域”配置為使用 CIPSO 進行資料包標記，則將生成 CIPSO IP 選項並將其附加到套接字。

入站資料包處理

CIPSO/IPv4 協議引擎驗證它在 IP 層找到的每個 CIPSO IP 選項，而無需 LSM 的任何特殊處理。 但是，為了解碼和翻譯資料包上的 CIPSO 標籤，LSM 必須使用 NetLabel 安全模組 API 來提取資料包的安全屬性。 這通常在使用 'socket_sock_rcv_skb()' LSM 鉤子的套接字層完成。

標籤轉換

CIPSO/IPv4 協議引擎包含一種機制，用於將 CIPSO 安全屬性（例如敏感度級別和類別）轉換為適合主機的值。 這些對映定義為 CIPSO 解釋域 (DOI) 定義的一部分，並透過 NetLabel 使用者空間通訊層進行配置。 每個 DOI 定義可以具有不同的安全屬性對映表。

標籤轉換快取

NetLabel 系統提供了一個框架，用於快取從網路標籤到相應 LSM 識別符號的安全屬性對映。 CIPSO/IPv4 協議引擎支援此快取機制。