グラハム・デニングモデル

この記事には参考文献、関連資料、外部リンクの一覧が含まれていますが、インライン引用がないため、その情報源は不明瞭なままです。より正確な引用を導入してこの記事の改善にご協力ください。 （2019年3月）（このメッセージを削除する方法とタイミングについて）

グラハム・デニングモデルは、サブジェクトとオブジェクトを安全に作成および削除する方法を示すコンピュータセキュリティモデルです。また、特定のアクセス権を割り当てる方法も示しています。主に分散システムのアクセス制御メカニズムで使用されます。このモデルは、サブジェクトの集合、オブジェクトの集合、そして8つのルールの集合という3つの主要な部分から構成されています。サブジェクトとは、リソースへのアクセスを要求するプロセスまたはユーザーです。オブジェクトとは、ユーザーまたはプロセスがアクセスしようとするリソースです。

このモデルは、特定の主体がオブジェクトに対してセキュリティ機能を実行するための基本的な権限セットをどのように定義するかというセキュリティ上の課題に対処します。このモデルには、以下の8つの基本的な保護ルール（アクション）が規定されています。

• オブジェクトを安全に作成する方法。
• サブジェクトを安全に作成する方法。
• オブジェクトを安全に削除する方法。
• 件名を安全に削除する方法。
• 読み取りアクセス権を安全に付与する方法。
• 安全にアクセス権を付与する方法。
• 削除アクセス権を安全に付与する方法。
• 転送アクセス権を安全に付与する方法。

さらに、各オブジェクトには特別な権限を持つ所有者がおり、各サブジェクトには特別な権限を持つ別のサブジェクト (コントローラー) が存在します。

このモデルはアクセス制御マトリックスモデルに基づいており、行はサブジェクトに対応し、列はオブジェクトとサブジェクトに対応し、各要素にはサブジェクト i とオブジェクト j の間、またはサブジェクト i とサブジェクト k の間の権限セットが含まれます。

たとえば、アクション A[s,o] には、サブジェクト s がオブジェクト o に対して持つ権限が含まれます (例: {own, execute})。

8 つのルールの 1 つ (たとえばオブジェクトの作成) を実行すると、マトリックスが変更されます。そのオブジェクトに新しい列が追加され、それを作成した主体がその所有者になります。

各ルールは前提条件に関連付けられています。たとえば、サブジェクト x がオブジェクト o を削除する場合、その所有者である必要があります (A[x,o] には「所有者」権限が含まれています)。

ハリソン・ルッツォ・ウルマンは、基本的な操作と条件から構成されるコマンドに基づく保護システムを定義することで、このモデルを拡張しました。

• アクセス制御マトリックス
• ベル・ラパデューラモデル
• ビバモデル
• ブリューワーとナッシュモデル
• クラーク・ウィルソンモデル
• ハリソン・ルッツォ・ウルマンモデル

• Krutz, Ronald L. および Vines, Russell Dean, 『CISSP 準備ガイド; ゴールド版』、Wiley Publishing, Inc.、インディアナ州インディアナポリス、2003 年。
• コンピューティングにおけるセキュリティ (Charles P. Pfleeger、Shari Lawrence Pfleeger 著)
• http://www.cs.ucr.edu/~brett/cs165_s01/LECTURE11/lecture11-4up.pdf