ラベルとトランザクション
Trusted Extensions ソフトウェアは、試みられたすべてのセキュリティー関連のトランザクションを管理します。サブジェクトのラベルがオブジェクトのラベルと比較され、どちらのラベルが「優位」であるかに応じてトランザクションが許可または拒否されます。ある実体のラベルは、次の 2 つの条件が満たされている場合に、もう一方の実体のラベルよりも「優位」だとみなされます。
-
1 つ目の実体のラベルの格付け要素が、もう一方の実体の格付けと同等またはそれよりも上である。
-
もう一方の実体のラベルのすべてのコンパートメントが 1 つ目の実体のラベルに含まれている。
2 つのラベルは、同じ格付けと同じコンパートメントのセットを持つ場合に、「同等」 だとみなされます。ラベルが同等であれば、これらは互いに優位です。よって、アクセスが許可されます。
次の条件のいずれかを満たす場合、1 つ目のラベルは 2 つ目のラベルよりも「完全に優位」であると言えます。
-
1 つ目のラベルが 2 つ目のラベルよりも高い格付けを持っている
-
1 つ目のラベルの格付けが 2 つ目のラベルの格付けと同等であり、1 つ目のラベルに 2 つ目のラベルのコンパートメントがすべて含まれ、1 つ目のラベルに追加のコンパートメントがある
2 つ目のラベルよりも完全に優位なラベルには、2 つ目のラベルへのアクセスが許可されます。
どちらのラベルももう一方のラベルより優位ではない場合、これらのラベルは「無関係」とみなされます。無関係なラベル間ではアクセスは許可されません。
これらの構成要素から、次の 4 つのラベルを作成できます。
-
TOP SECRET
-
TOP SECRET A
-
TOP SECRET B
-
TOP SECRET AB
TOP SECRET AB は自身に対して優位であり、ほかのラベルよりも完全に優位です。TOP SECRET A は自身に対して優位であり、TOP SECRET よりも完全に優位です。TOP SECRET B は自身に対して優位であり、TOP SECRET よりも完全に優位です。TOP SECRET A と TOP SECRET B は無関係です。
読み取りトランザクションでは、サブジェクトのラベルがオブジェクトのラベルよりも優位である必要があります。この規則により、サブジェクトの信頼レベルは、オブジェクトにアクセスするための条件を完全に満たすことになります。つまり、サブジェクトのラベルには、オブジェクトへのアクセスが許可されたすべてのコンパートメントが含まれます。TOP SECRET A は、TOP SECRET A と TOP SECRET のデータを読み取ることができます。同様に、TOP SECRET B は TOP SECRET B と TOP SECRET のデータを読み取ることができます。TOP SECRET A が TOP SECRET B のデータを読み取ることはできません。同様に、TOP SECRET B も TOP SECRET A のデータを読み取ることはできません。TOP SECRET AB は、すべてのラベルのデータを読み取ることができます。
書き込みトランザクション、つまり、サブジェクトによってオブジェクトが作成または変更される場合は、結果として得られるオブジェクトのラベル付きゾーンがサブジェクトのラベル付きゾーンと同等である必要があります。1 つのゾーンから別のゾーンへの書き込みトランザクションは許可されません。
実際には、読み取りや書き込みのトランザクションでのサブジェクトとオブジェクトは通常は同じラベルを持つので、完全に優位であるかどうかを気にする必要はありません。たとえば、TOP SECRET A のサブジェクトは、TOP SECRET A のオブジェクトを作成または変更できます。Trusted Extensions では、TOP SECRET A のオブジェクトは TOP SECRET A というラベルのゾーンにあります。
次の表は、米国政府のラベルおよび産業界のラベルでの優位性の関係を示しています。
表 1–1 Trusted Extensions のラベル関係の例|
ラベル 1 |
関係 |
ラベル 2 |
|
|---|---|---|---|
|
米国政府のラベル |
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
SECRET A |
|
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
SECRET A B |
|
|
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
TOP SECRET A |
|
|
TOP SECRET AB |
ラベル 1 はラベル 2 より優位 (または同等) |
TOP SECRET AB |
|
|
TOP SECRET AB |
無関係 |
TOP SECRET C |
|
|
TOP SECRET AB |
無関係 |
SECRET C |
|
|
TOP SECRET AB |
無関係 |
SECRET A B C |
|
|
産業界のラベル |
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Confidential: Need to Know |
|
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Confidential: Internal Use Only |
|
|
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Confidential: Need to Know |
ラベル 1 はラベル 2 より優位 |
Confidential: Internal Use Only |
|
|
Confidential: Need to Know |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Confidential: Internal |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Sandbox |
無関係 |
その他すべてのラベル |
異なるラベルを持つファイル間で情報を転送するとき、ファイルのラベル変更がそのユーザーに承認されている場合は、確認ダイアログボックスが Trusted Extensions によって表示されます。ユーザーが承認されていない場合、Trusted Extensions はトランザクションを許可しません。情報の昇格または降格をユーザーに承認できるのはセキュリティー管理者です。詳細は、「トラステッドアクションの実行」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates