目录树结构

系统调用函数，以使无特权进程所创建的目录树跟在非递减标签结构后面，其中文件的标签等于其父目录的标签或者在分区目录范围内，目录标签将支配其父目录的标签（请注意，支配包括等价）。 这是不可信程序的自然结构。

但是，特权进程不由此限制绑定，并且可以创建目录树，其中父目录 MAC 标签关系是任意的。 这些配置很有用，因为 MAC 搜索访问对于树根的限制更加严格。 例如，聚集保护（其中数据对象集合的 MAC 标签的级别高于对象的任何单个标签）可以通过将目录的 MAC 标签设置为高于任何其元素的标签来实现。 然后，不可信进程必须支配目录的标签才能获得对数据聚集的访问权。

在创建具有递减标签的目录树时应该非常小心。 当文件不支配或不等于其父代标签时，无特权进程不能打开文件进行写操作。