Take-Grant -malli ( englanniksi take "take", grant "give") on muodollinen malli, jota käytetään tietokoneturvallisuuden alalla harkinnanvaraisten kulunvalvontajärjestelmien analysointiin . vahvistaa tai kumoaa tämän automatisoidun järjestelmän turvallisuustason , jonka on täytettävä säännellyt vaatimukset. Malli esittää koko järjestelmän suunnattuna graafina , jossa solmut ovat joko objekteja tai subjekteja [1] . Niiden väliset kaaret on merkitty, ja niiden arvot osoittavat oikeudet, jotka objektilla tai subjektilla ( solmulla ) on. Mallia hallitsee kaksi sääntöä: "ottaa" ja "anna". Heillä on siinä erityinen rooli, koska ne kirjoittavat uudelleen säännöt, jotka kuvaavat hyväksyttäviä tapoja muuttaa kuvaajaa. Muunnossääntöjä on yhteensä 4:
Näiden sääntöjen avulla voit toistaa tilat, joissa järjestelmä on käyttöoikeuksien jakelun ja muutoksen mukaan. Siksi tiettyyn järjestelmään kohdistuvat mahdolliset uhat voidaan analysoida.
Muunna G kuvaajaksi G' = sääntö ja sitä merkitään:
Ota = ota(r, x, y, s), r ∈ R. Olkoon s ∈ S, x,y ∈ O graafin G kärkipisteitä.
Sitten kuvaaja G:
Eli subjekti S ottaa objektilta X oikeudet r objektiin Y.
Anna = myönne(r, x, y, s), r ∈ R. Olkoon s ∈ S, x,y ∈ O G:n pisteitä.
Sitten kuvaaja G:
Eli subjekti S antaa objektille X oikeudet r objektiin Y.
Luo = luo(p, x, s), r ∈ R. Olkoon s ∈ S, x,y ∈ O G:n kärkipisteitä.
Sitten kuvaaja G:
Eli subjekti S luo p-saatavan objektin X.
Poista = poista(r, x, s), r ∈ R. Olkoot s ∈ S, x,y ∈ O G:n pisteitä.
Sitten kuvaaja G:
Eli subjekti S poistaa käyttöoikeudet r objektiin X.
1. Alla olevassa kuvassa on graafinen esitys hakemistorakenteesta. Tässä sarakkeessa P1 ja P2 muodostavat aiheita (mahdollisia käyttäjiä) ja D:t ja F:t vastaavasti objekteja, hakemistoja ja tiedostoja. "Luku"-oikeus on muutettu "take"-säännöksi kaikille tasoille paitsi hakemistojen todellisille tiedostotasoille. Oikeutta "nauhoittaa" muutettiin myös säännöllä "antaa". Tästä kaaviosta käy selväksi: jos subjektilla on oikeus lukea (ottaa) objekti, sillä voi olla oikeus lukea mitä tahansa muita objekteja, joihin tällä ensimmäisellä objektilla on joitain oikeuksia. Vastaavasti, jos subjektilla on kirjoitusoikeus (myönnä) objektiin, se voi myöntää minkä tahansa käyttöoikeutensa tälle objektille.
2. Alla olevasta kuvasta näkyy, että yllä olevien neljän säännön yhdistelmällä uusi tiedosto voidaan lisätä esimerkin 1 hakemistorakenteeseen. Ja luku-/kirjoitusoikeudet määrätään sen hakemiston sääntöjen mukaisesti, jossa tämä tiedosto on kirjoitettu. Tiedoston ja käyttöoikeuksien lisääminen edellyttää seuraavat neljä vaihetta:
Yllä olevan luettelon numerot vastaavat kaaviossa esitettyjä ympyröityjä numeroita, kun kaavion kaari luodaan.