Chương 2 MỘT SỐ NHIỆM VỤ VÀ PHƢƠNG PHÁP BẢO VỆ DỮ LIỆU
3.2. MÔ HÌNH MA TRẬN TRUY CẬP HARRISON–RUZZO–ULLMAN (HRU)
3.2.6. Thực thi của mô hình ma trận truy cập (Model Implementation)
Mặc dù ma trận thể hiện tốt các trạng thái cấp quyền, nhƣng nó không thích hợp cho việc thực thi. Trong một hệ thống thông thƣờng, ma trận truy cập thƣờng lớn về kích thƣớc và thƣa thớt. Lƣu trữ ma trận là mảng hai chiều vì thế rất lãng phí ô nhớ. Có 3 chiến lƣợc để thực thi ma trận truy cập:
Bảng cấp quyền (Authorization Table): các đầu vào không rỗng của ma trận đƣợc lƣu trong bảng với 3 cột tƣơng ứng là chủ thể, hành động, đối tƣợng. Mỗi bộ trong bảng tƣơng ứng với một cấp quyền. Bảng cấp quyền thƣờng đƣợc sử dụng trong hệ quản trị cơ sở dữ liệu, với các quyền đƣợc lƣu trữ nhƣ các catalog (bảng quan hệ) của cơ sở dữ liệu (Hình 3.2 (a)).
Danh sách khả năng (Capability List - CL): Ma trận đƣợc lƣu trữ thành hàng các chủ thể, mỗi chủ thể có một danh sách con trỏ hỗ trợ đƣợc gọi là danh sách capability, trỏ đến mỗi đối tƣợng, sự truy cập mà ngƣời dùng đó đƣợc phép để thực hiện trên đối tƣợng (Hình 3.2 (b)).
Danh sách điều khiển truy cập (Access Control List - ACL): Ma trận đƣợc lƣu trữ thành các cột. Mỗi đối tƣợng đƣợc hỗ trợ một danh sách con trỏ, trỏ đến mỗi chủ thể, mỗi hành vi mà chủ thể có thể thực hiện trong đối tƣợng đó (Hình 3.2 (c)).
Các CL và ACL thể hiện một số ƣu và nhƣợc điểm cùng với các mặt của điều khiển và quản lý cấp quyền. Với ACL, ngay lập tức kiểm tra đƣợc sự cấp quyền trong một đối tƣợng, trong khi tìm kiếm tất cả các cấp quyền của một chủ thể đòi hỏi việc kiểm tra ACL cho mọi đối tƣợng. Tƣơng tự với CL, có thể quyết định quyền của một chủ thể, trong khi tìm kiếm tất cả mọi truy cập thực hiện trong một đối tƣợng đòi hỏi việc kiểm tra tất cả các khả năng khác.