ラベルの構成要素

ラベルと認可上限は、1 つの「格付け」と 0 または 1 つ以上の「コンパートメント」語句で構成されます。ラベルの格付け部分は、保護の相対レベルを示します。ラベルがオブジェクトに割り当てられると、ラベルの格付けが、オブジェクトに含まれている情報の機密度を示します。認可上限がユーザーに割り当てられると、認可上限ラベルの格付け部分が、ユーザーの信頼度を示します。

Trusted Extensions は CIPSO (Common IP Security Option) ラベルをサポートします。ラベルと認可上限ラベルのそれぞれには、256 個までの値を指定できる格付けフィールド、および 256 ビットのコンパートメントフィールドがあります。格付けに 0 (ゼロ) は使用できないので、合計 255 個の格付けを定義できます。CIPSO ラベルには、240 個のコンパートメントビットを使用できるので、合計 2²⁴⁰ のコンパートメントの組み合わせが可能です。これらの構成要素を次の図に示します。

図 1–2 CIPSO ラベル定義

ADMIN_HIGH ラベルと ADMIN_LOW ラベルは管理ラベルです。これらのラベルはシステム上のすべてのラベルの上限と下限を定義します。

各コンパートメント語句には、1 ビット以上のコンパートメントビットが割り当てられています。同じコンパートメントビットを 1 つ以上の語句に割り当てることができます。

テキスト形式の格付けは、次のようになります。

CLASSIFICATIONS:

name= TOP SECRET; sname= TS; value= 6;initial compartments= 4-5;

ラベルのコンパートメント部分は省略可能です。ラベルのコンパートメント語句を使用して、ワークグループ、部、課、地理上区域などの異なる種類のグループを表すことができます。コンパートメント語句によって、情報の処理方法を指定することもできます。

初期コンパートメントが格付け定義の一部である場合、コンパートメントがそのラベルの一部になります。

WORDS:

name= A;         compartments= 0;
name= B;         compartments= 1;
name= CNTRY1;     sname= c1;     compartments= ~4;
name= CNTRY2;   sname= c2;     compartments= ~5;

前の格付けおよびコンパートメントから使用可能なラベルには、TS、TS A、TS B、および TS AB があります。TS A のファイルは、TS 格付けと認可上限に A コンパートメントを持つユーザーのみが使用できます。説明図は、図 1–3 を参照してください。