跳到主要內容

Graham-Denning 模型深度解析:8 大安全規則如何實現權限的精準管理與控制

在複雜的多使用者系統中,「誰能管理誰的權限」往往比「誰能存取什麼」更關鍵。Graham-Denning 模型正是針對這個問題,提出一套以 8 大安全規則為核心的行政管理框架。

什麼是 Graham-Denning 模型?

Graham-Denning 模型由 R.E. Graham 與 D.E. Denning 於 1972 年提出,是一種行政管理型存取控制模型,建立在存取控制矩陣(Access Control Matrix)之上。矩陣的列(Row)代表主體(Subject),欄(Column)代表物件(Object),每個交叉格記錄對應的存取權限。

模型的核心聚焦在「如何安全地管理權限本身」,而非單純限制資訊流。它明確定義主體與物件的生命週期,包含創建、刪除與權限轉移,解決了其他模型在權限管理上的模糊地帶。

8 大安全規則詳解

Graham-Denning 模型定義以下 8 條命令規則,涵蓋主體與物件的完整管理流程:

🔐 8 大安全規則一覽

  • Rule 1 — Create Object:主體可創建新物件,並自動獲得其擁有權。
  • Rule 2 — Create Subject:主體可創建新主體,初始化其存取控制條目。
  • Rule 3 — Delete Object:擁有者可刪除物件,並移除矩陣中對應欄位。
  • Rule 4 — Delete Subject:擁有者可刪除主體,並移除矩陣中對應列位。
  • Rule 5 — Read Access Right:主體可讀取其被授權查看的存取權限。
  • Rule 6 — Grant Access Right:擁有 Grant 權限者可將權限授予其他主體。
  • Rule 7 — Delete Access Right:擁有者可撤銷特定主體對特定物件的權限。
  • Rule 8 — Transfer Access Right:主體可將自身持有的權限轉移給其他主體。

每條規則都有明確的前置條件(Precondition)執行動作(Action),確保任何權限的異動都有據可查、可被稽核。

💡 核心重點整理

  • Graham-Denning 是行政管理型模型,聚焦於權限的生命週期管理。
  • 以存取控制矩陣為底層結構,精確記錄主體與物件的對應關係。
  • 8 大規則涵蓋創建、刪除、授予、轉移、撤銷五大操作類型。
  • 每條規則需滿足前置條件才能執行,防止未授權的權限異動。

Graham-Denning 模型為現代存取控制系統(如 RBAC、ABAC)的設計奠定理論基礎。理解其 8 大規則,有助於在系統設計時建立可稽核、可管控的權限治理架構

📚 參考文獻

  1. Graham, R.E. & Denning, D.E. (1972). Protection — Principles and Practice. AFIPS Spring Joint Computer Conference — 存取控制模型原始論文。
  2. Bishop, M. (2003). Computer Security: Art and Science. Addison-Wesley — 涵蓋 Graham-Denning 模型的權威教科書。
  3. NIST SP 800-162

留言