ラベル範囲

システムには複数のラベルが存在します。したがって、ラベルを理解するためには、これを範囲で捉えるのが良いでしょう。ラベル範囲とは、ユーザーまたはユーザークラスが操作を行う際に使用する機密ラベルのセットで、最下位ラベル、最上位ラベル、制約などによって定義されています。ただし、最上位ラベルから最下位ラベルまでの全ラベルをラベル範囲と呼ぶわけではありません。ラベルエンコーディングファイルには、特定のラベルの組み合わせをラベル範囲から除外するような規則も含まれており、こうした規則すべてに適合した「正しい形式」のラベルだけが、ラベル範囲内にあると見なされます。一方、認可上限は正しい形式でなくても構いません。たとえば、ラベルエンコーディングファイルの規則で、機密ラベルのコンパートメント A、B、C の組み合わせがすべて禁止されている場合、「TS A B C」は、認可上限としては有効ですが、機密ラベルとしては無効です。この認可上限では、ユーザーは、「TS A」、「TS B」、「TS C」というラベルのファイルに対してアクセスを許可されます。