СПОСОБ ОБЕСПЕЧЕНИЯ ДОСТУПА К ОБЪЕКТАМ В ОПЕРАЦИОННОЙ СИСТЕМЕ

Настоящее изобретение относится к вычислительной технике, в частности, к защите от обращений к памяти посторонних пользователей и может быть использовано при разработке новых и совершенствовании существующих операционных систем (ОС).

ОС должна содержать средства защиты, отражающие основные угрозы безопасности, прежде всего - угрозы несанкционированного доступа. Отсутствие соответствующих средств защиты в ОС не может быть восполнено путем разработки дополнительных прикладных программных средств или внедрением аппаратных средств защиты, не управляемых самой ОС. При таком подходе всегда остается возможность прямого воздействия на систему и обрабатываемую в ней информацию в обход дополнительных средств защиты, компрометации этих средств защиты или вмешательства в их работу. Поэтому принятый в ОС способ взаимодействия пользователей с объектами и ресурсами системы должен предусматривать наличие различных средств защиты на системном уровне.

Известен способ обеспечения доступа к объектам ОС, функционирующей на аппаратурном обеспечении, заключающийся в том, что каждому пользователю заранее присваивают и затем запоминают в памяти сигнал идентификатора пользователя и сигнал идентификатора образа пользователя, включающий по крайней мере сигнал ранга допуска пользователя, сигнал ранга доверия пользователя и сигналы идентификаторов действий пользователя, для каждого объекта ОС заранее формируют и затем запоминают в памяти сигнал метки объекта, включающий по крайней мере сигнал имени объекта, сигнал уровня доступа к объекту, сигналы уровней доверия для действий объекта и сигналы идентификаторов действий объекта, пользователь вводит сигнал идентификатора пользователя, по которому осуществляют его идентификацию и аутентификацию и при идентификации принимают решение о доступе пользователя к ОС [заявка Великобритании №2242295, МПК G06F 12/14, 1991].

Недостатком данного способа является невысокая надежность предотвращения доступа несанкционированных лиц к объектам в ОС, что объясняется небольшим числом проверок прав пользователя для совершения над ними каких-либо действий.

Наиболее близким к заявленному является способ обеспечения доступа к объектам ОС, заключающийся в том, что

каждому пользователю заранее присваивают и затем запоминают сигнал идентификатора пользователя и сигнал идентификатора образа пользователя,

для каждого объекта ОС заранее формируют и затем запоминают сигнал метки объекта, включающий по крайней мере сигнал имени объекта, сигнал уровня доступа к объекту, сигналы идентификатора действий объекта,

пользователь вводит сигнал идентификатора пользователя, по которому осуществляют его идентификацию и аутентификацию и при идентификации принимают решение о доступе пользователя к ОС,

формируют сигнал запроса на обслуживание, содержащий сигнал идентификатора пользователя и сигналы описания запрашиваемых действий над объектом,

передают сформированный сигнал запроса на обслуживание в ядро ОС,

если сигнал ранга допуска пользователя выше сигнала уровня доступа к объекту, то формируют сигнал разрешения выполнения действий, описания которых содержатся в сигнале запроса на обслуживание,

если сигнал ранга допуска пользователя равен сигналу уровня доступа к объекту, то сравнивают сигнал ранга доверия пользователя с сигналами уровней доверия для действий, предназначенных для выполнения над объектом,

если сигнал ранга доверия пользователя выше сигналов уровней доверия для действий объекта, то сравнивают сигналы идентификаторов действий объекта с сигналами идентификаторов действий пользователя [Пат. РФ №2134931 «Способ обеспечения доступа к объектам в операционной системе МСВС». Заявка 99104473/09, 15.03.1999]

Недостатком данного способа является также недостаточная надежность предотвращения доступа несанкционированных лиц к объектам в ОС.

Задачей, решаемой в данном изобретении, является создание способа обеспечения доступа к объектам в ОС, позволяющего повысить надежность отражения угрозы несанкционированного доступа.

Решение поставленной технической задачи обеспечивается тем, что в способе обеспечения доступа к объектам ОС каждому пользователю заранее присваивают и затем запоминают сигнал идентификатора пользователя и сигнал идентификатора образа пользователя,

для каждого объекта ОС заранее формируют и затем запоминают сигнал метки объекта, включающий по крайней мере сигнал имени объекта, сигнал уровня доступа к объекту, сигналы идентификатора действий объекта,

пользователь вводит сигнал идентификатора пользователя, по которому осуществляют его идентификацию и аутентификацию и при идентификации принимают решение о доступе пользователя к ОС,

формируют сигнал запроса на обслуживание, содержащий сигнал идентификатора пользователя и сигналы описания запрашиваемых действий над объектом,

передают сформированный сигнал запроса на обслуживание в ядро ОС,

если сигнал ранга допуска пользователя выше сигнала уровня доступа к объекту, то формируют сигнал разрешения выполнения действий, описания которых содержатся в сигнале запроса на обслуживание,

если сигнал ранга допуска пользователя равен сигналу уровня доступа к объекту, то сравнивают сигнал ранга доверия пользователя с сигналами уровней доверия для действий, предназначенных для выполнения над объектом,

если сигнал ранга доверия пользователя выше сигналов уровней доверия для действий объекта, то сравнивают сигналы идентификаторов действий объекта с сигналами идентификаторов действий пользователя,

сигнал идентификатора образа пользователя включает в себя по крайней мере сигнал уровня допуска пользователя, сигналы категорий пользователя, сигнал роли пользователя,

сигнал метки объекта дополнительно включает в себя сигнал идентификатора объекта, сигналы категорий объекта и сигналы разрешенных действий над объектами для каждого пользователя,

сигнал идентификатора пользователя и сигнал идентификатора образа пользователя запоминают в базе данных пользователей,

сигнал метки объекта запоминают в базе данных атрибутов безопасности на диске,

сигнал запроса на обслуживание дополнительно содержит сигнал идентификатора объекта,

при старте ОС запускают и регистрируют сервер ресурсов, обслуживающий каждый объект в ОС, на сервере атрибутов безопасности, используя уникальный сигнал идентификатора сервера,

после готовности обслуживающего соответствующий объект сервера ресурсов к обработке сигнала запроса, формируют от ядра для сервера безопасности сигнал проверки запроса, который включает в себя по крайней мере сигнал идентификатора объекта, сигнал идентификатора сервера ресурсов, сигнал идентификатора пользователя, сигналы запрашиваемых действий над объектом,

после готовности сервера безопасности к обработке полученного сигнала проверки запроса, считывают из сигнала проверки запроса сигнал идентификатора пользователя и запрашивают у сервера базы данных пользователей сигнал образа пользователя, передавая ему сигнал идентификатора пользователя,

по сигналу от сервера безопасности, с помощью сервера базы данных пользователей считывают из базы данных пользователей сигнал образа пользователя на основе сигнала идентификатора пользователя и возвращают результат серверу безопасности,

с помощью сервера безопасности считывают из сигнала проверки запроса сигнал идентификатора объекта и сигнал идентификатора пользователя и запрашивают у сервера атрибутов безопасности сигнал метки объекта, передавая ему сигнал идентификатора ресурсов, сигнал идентификатора объекта и сигнал идентификатора пользователя,

по сигналу от сервера безопасности, с помощью сервера атрибутов безопасности считывают из базы данных атрибутов безопасности сигнал метки объекта, используя полученный от сервера безопасности сигнал идентификатора сервера ресурсов, сигнал идентификатора объектов и сигнал идентификатора пользователя, и возвращают сигнал метки объекта серверу безопасности,

в сервере безопасности сравнивают сигнал образа пользователя, сигнал метки объекта и сигналы описания запрашиваемых действий над объектами и принимают решение о разрешении или запрете запрошенных действий пользователя над объектом,

если сигнал роли пользователя обладает эксклюзивными правами доступа на объект, то доступ пользователя к объекту разрешается,

если множество сигналов описания запрашиваемых действий над объектом не принадлежат множеству сигналов разрешенных действий над объектом для данного пользователя, то доступ пользователя к объекту запрещается,

если множество сигналов категорий объекта, извлеченного из сигнала образа пользователя, не принадлежит множеству категорий объекта, извлеченного из сигнала метки пользователя, то доступ пользователя к объекту запрещается,

если действия разрешены правилами политик безопасности, то в сервере безопасности формируют сигнал разрешения действия ядру,

если действия запрещены правилами политик безопасности, то в сервере безопасности формируют сигнал запрета действия ядру, а также формируют сигнал регистрации несанкционированного доступа для сервера аудита безопасности,

если ядро получает от сервера безопасности сигнал разрешения действия, то передают сигнал запроса серверу ресурсов для его дальнейшей обработки.

Новыми существенными признаками являются:

сигнал идентификатора образа пользователя включает в себя по крайней мере сигнал уровня допуска пользователя, сигналы категорий пользователя, сигнал роли пользователя,

сигнал метки объекта дополнительно включает в себя сигнал идентификатора объекта, сигналы категорий объекта и сигналы разрешенных действий над объектами для каждого пользователя,

сигнал идентификатора пользователя и сигнал идентификатора образа пользователя запоминают в базе данных пользователей,

сигнал метки объекта запоминают в базе данных атрибутов безопасности на диске,

сигнал запроса на обслуживание дополнительно содержит сигнал идентификатора объекта,

при старте ОС запускают и регистрируют сервер ресурсов, обслуживающий каждый объект в ОС, на сервере атрибутов безопасности, используя уникальный сигнал идентификатора сервера,

после готовности обслуживающего соответствующий объект сервера ресурсов к обработке сигнала запроса, формируют от ядра для сервера безопасности сигнал проверки запроса, который включает в себя по крайней мере сигнал идентификатора объекта, сигнал идентификатора сервера ресурсов, сигнал идентификатора пользователя, сигналы запрашиваемых действий над объектом,

после готовности сервера безопасности к обработке полученного сигнала проверки запроса, считывают из сигнала проверки запроса сигнал идентификатора пользователя и запрашивают у сервера базы данных пользователей сигнал образа пользователя, передавая ему сигнал идентификатора пользователя,

по сигналу от сервера безопасности, с помощью сервера базы данных пользователей считывают из базы данных пользователей сигнал образа пользователя на основе сигнала идентификатора пользователя и возвращают результат серверу безопасности,

с помощью сервера безопасности считывают из сигнала проверки запроса сигнал идентификатора объекта и сигнал идентификатора пользователя и запрашивают у сервера атрибутов безопасности сигнал метки объекта, передавая ему сигнал идентификатора ресурсов, сигнал идентификатора объекта и сигнал идентификатора пользователя,

по сигналу от сервера безопасности, с помощью сервера атрибутов безопасности считывают из базы данных атрибутов безопасности сигнал метки объекта, используя полученный от сервера безопасности сигнал идентификатора сервера ресурсов, сигнал идентификатора объектов и сигнал идентификатора пользователя, и возвращают сигнал метки объекта серверу безопасности,

в сервере безопасности сравнивают сигнал образа пользователя, сигнал метки объекта и сигналы описания запрашиваемых действий над объектами и принимают решение о разрешении или запрете запрошенных действий пользователя над объектом,

если сигнал роли пользователя обладает эксклюзивными правами доступа на объект, то доступ пользователя к объекту разрешается,

если множество сигналов описания запрашиваемых действий над объектом не принадлежат множеству сигналов разрешенных действий над объектом для данного пользователя, то доступ пользователя к объекту запрещается,

если множество сигналов категорий объекта, извлеченного из сигнала образа пользователя, не принадлежит множеству категорий объекта, извлеченного из сигнала метки пользователя, то доступ пользователя к объекту запрещается,

если действия разрешены правилами политик безопасности, то в сервере безопасности формируют сигнал разрешения действия ядру,

если действия запрещены правилами политик безопасности, то в сервере безопасности формируют сигнал запрета действия ядру, а также формируют сигнал регистрации несанкционированного доступа для сервера аудита безопасности,

если ядро получает от сервера безопасности сигнал разрешения действия, то передают сигнал запроса серверу ресурсов для его дальнейшей обработки.

Перечисленные новые существенные признаки в совокупности с известными позволяют получить технический результат во всех случаях, на которые распространяется испрашиваемый объем правовой охраны.

Возможность использования способа в вычислительной технике, известность средств и методов, с помощью которых возможно осуществление изобретения в описанном виде, позволяет сделать вывод о его соответствии критерию «промышленная применимость».

Анализ уровня техники не выявил средство, которому присущи все признаки изобретения, выраженного формулой, что свидетельствует о соответствии предлагаемого устройства критерию «новизна».

Сущность изобретения не следует для специалиста явным образом из уровня техники, поскольку не выявлены решения, имеющие признаки, совпадающие с его отличительными признаками. Анализ уровня техники не выявил известность влияния признаков, совпадающих с отличительными признаками заявленного изобретения, на основной технический результат (повышение надежности отражения угрозы несанкционированного доступа), что свидетельствует об изобретательском уровне предлагаемого технического решения.

На фиг.1 представлена схема взаимодействия объектов в способе обеспечения доступа к объектам в ОС. На фиг.2 показана блок-схема способа обеспечения доступа к объектам в ОС.

Реализация способа по настоящему изобретению осуществляется следующим образом.

Пользователю заранее присваивают и затем запоминают сигнал идентификатора пользователя и сигнал идентификатора образа пользователя. Для каждого объекта ОС заранее формируют и затем запоминают сигнал метки объекта, включающий по крайней мере сигнал имени объекта, сигнал уровня доступа к объекту, сигналы идентификатора действий объекта. Пользователь вводит сигнал идентификатора пользователя, по которому осуществляют его идентификацию и аутентификацию и при идентификации принимают решение о доступе пользователя к ОС. Формируют сигнал запроса на обслуживание, содержащий сигнал идентификатора пользователя и сигналы описания запрашиваемых действий над объектом. Передают сформированный сигнал запроса на обслуживание в ядро ОС.

Если сигнал ранга допуска пользователя выше сигнала уровня доступа к объекту, то формируют сигнал разрешения выполнения действий, описания которых содержатся в сигнале запроса на обслуживание. Если сигнал ранга допуска пользователя равен сигналу уровня доступа к объекту, то сравнивают сигнал ранга доверия пользователя с сигналами уровней доверия для действий, предназначенных для выполнения над объектом. Если сигнал ранга доверия пользователя выше сигналов уровней доверия для действий объекта, то сравнивают сигналы идентификаторов действий объекта с сигналами идентификаторов действий пользователя.

Сигнал идентификатора образа пользователя включает в себя по крайней мере сигнал уровня допуска пользователя, сигналы категорий пользователя, сигнал роли пользователя. Сигнал метки объекта дополнительно включает в себя сигнал идентификатора объекта, сигналы категорий объекта, и сигналы разрешенных действий над объектами для каждого пользователя. Сигнал идентификатора пользователя и сигнал идентификатора образа пользователя запоминают в базе данных пользователей. Сигнал метки объекта запоминают в базе данных атрибутов безопасности на диске. Сигнал запроса на обслуживание дополнительно содержит сигнал идентификатора объекта.

При старте ОС запускают и регистрируют сервер ресурсов, обслуживающий каждый объект в ОС, на сервере атрибутов безопасности, используя уникальный сигнал идентификатора сервера,

После готовности обслуживающего соответствующий объект сервера ресурсов к обработке сигнала запроса формируют от ядра для сервера безопасности сигнал проверки запроса, который включает в себя по крайней мере сигнал идентификатора объекта, сигнал идентификатора сервера ресурсов, сигнал идентификатора пользователя, сигналы запрашиваемых действий над объектом.

После готовности сервера безопасности к обработке полученного сигнала проверки запроса, считывают из сигнала проверки запроса сигнал идентификатора пользователя и запрашивают у сервера базы данных пользователей сигнал образа пользователя, передавая ему сигнал идентификатора пользователя.

По сигналу от сервера безопасности, с помощью сервера базы данных пользователей считывают из базы данных пользователей сигнал образа пользователя на основе сигнала идентификатора пользователя и возвращают результат серверу безопасности.

С помощью сервера безопасности считывают из сигнала проверки запроса сигнал идентификатора объекта и сигнал идентификатора пользователя и запрашивают у сервера атрибутов безопасности сигнал метки объекта, передавая ему сигнал идентификатора ресурсов, сигнал идентификатора объекта и сигнал идентификатора пользователя.

По сигналу от сервера безопасности, с помощью сервера атрибутов безопасности считывают из базы данных атрибутов безопасности сигнал метки объекта, используя полученный от сервера безопасности сигнал идентификатора сервера ресурсов, сигнал идентификатора объектов и сигнал идентификатора пользователя, и возвращают сигнал метки объекта серверу безопасности.

В сервере безопасности сравнивают сигнал образа пользователя, сигнал метки объекта и сигналы описания запрашиваемых действий над объектами и принимают решение о разрешении или запрете запрошенных действий пользователя над объектом.

Если сигнал роли пользователя обладает эксклюзивными правами доступа на объект, то доступ пользователя к объекту разрешается.

Если множество сигналов описания запрашиваемых действий над объектом не принадлежат множеству сигналов разрешенных действий над объектом для данного пользователя, то доступ пользователя к объекту запрещается.

Если множество сигналов категорий объекта, извлеченного из сигнала образа пользователя, не принадлежит множеству категорий объекта, извлеченного из сигнала метки пользователя, то доступ пользователя к объекту запрещается.

Если действия разрешены правилами политик безопасности, то в сервере безопасности формируют сигнал разрешения действия ядру.

Если действия запрещены правилами политик безопасности, то в сервере безопасности формируют сигнал запрета действия ядру, а также формируют сигнал регистрации несанкционированного доступа для сервера аудита безопасности.

Если ядро получает от сервера безопасности сигнал разрешения действия, то передают сигнал запроса серверу ресурсов для его дальнейшей обработки.

Изобретение поясняется с помощью фиг.1 и фиг.2. На фиг.1 показана схема взаимодействия объектов в способе обеспечения доступа к объектам в ОС. На фиг.2 показана блок-схема способа обеспечения доступа к объектам в ОС.

Пользователь (фиг.1) отправляет сигнал запроса доступа к серверу ресурсов через ядро. Ядро, прежде чем отдавать сигнал запроса доступа пользователей к серверу ресурсов, отправляет сигнал на проверку серверу безопасности. Сервер безопасности для осуществления проверки сигнала запроса пользователя собирает сигнал образа пользователя, сигнал метки объекта и сигналы описания запрашиваемых действий над объектами, используя сервер базы данных пользователей и сервер базы данных атрибутов безопасности. Сервера базы данных пользователей и атрибутов безопасности используют соответственно базы данных пользователей и атрибутов безопасности, расположенные на диске и настраиваемые заранее.

Если сервер безопасности принял решение о разрешении передачи сигнала запроса пользователя серверу ресурсов, то ядро передает этот сигнал серверу ресурсов. Если сервер безопасности принял решение о запрете сигнала запроса пользователя к серверу ресурсов, то это событие регистрируется на сервере аудита безопасности, путем отправки ему соответствующего сигнала. При этом пользователю возвращается сигнал об ошибке.

На фигуре 2 проиллюстрирован способ обеспечения доступа к объектам в ОС в виде блок-схемы.

Блок регистрации пользователей в системе заранее осуществляет присвоение и запоминание сигнала идентификатора пользователя и сигнала идентификатора образа пользователя для каждого пользователя в системе. Блок регистрации объектов в системе для каждого объекта в системе присваивает и запоминает сигнал метки объекта. Блок запуска сервера ресурсов осуществляет запуск сервера ресурсов при запуске всей системы. Блок идентификации пользователей в системе сигнал идентификатора пользователя, который он вводит в системе, и по этому сигналу осуществляется идентификация и аутентификация этого пользователя. Блок формирования сигнала на обслуживание осуществляет формирование сигнала запроса пользователя к серверу ресурсов, затем передает его в ядро системы, которое отдает этот сигнал на проверку в сервер безопасности. Блок получения сигналов, необходимых для принятия решения о доступе пользователя к объекту, в сервере безопасности осуществляет сбор сигнала образа пользователя и сигнала метки объекта, используя сервер базы данных пользователей и сервер базы данных атрибутов безопасности. Блок проверки сигнала роли на наличие эксклюзивных прав доступа извлекает из сигнала идентификатора образа пользователя сигнал роли пользователя, затем проверяет роль пользователя на наличие эксклюзивных прав доступа к объекту. Если пользователь обладает такими эксклюзивными правами, то он получает доступ к объекту, иначе управление передается следующему блоку проверки принадлежности сигналов запрашиваемых действий к сигналам доступа к объекту. Блок проверки принадлежности сигналов запрашиваемых действий к сигналам доступа к объекту проверяет принадлежность множества сигналов запрашиваемых действий, извлеченных из сигнала запроса пользователя, к множеству сигналов разрешенных действий над объектом. Если эти множества не удовлетворяют условию принадлежности, то принимается решение о запрете доступа пользователя к объекту. Если условие соблюдается, то управление передается к следующему блоку проверки принадлежности сигналов категорий объекта к сигналам категорий пользователя. Блок проверки принадлежности сигналов категорий объекта к сигналам категорий пользователя осуществляет проверку принадлежности множества сигналов категорий пользователя, извлеченных из сигнала запроса пользователя, к множеству сигналов категорий объекта, извлеченных из сигнала метки объекта. Если эти множества не удовлетворяют условию принадлежности, то доступ пользователя к объекту запрещается. Если эти множества удовлетворяют условию принадлежности, то управление передается следующему блоку проверки наличия запроса на чтение. Блок проверки наличия запроса на чтение, проверяет, есть ли среди множества сигналов запрашиваемых действий над объектом действие чтения. Если нет, то управление передается на следующий блок проверки наличия запроса на запись. Если действие чтения присутствует в множестве сигналов запрашиваемых действий над объектом, то управление передается на следующий блок проверки доступа на чтение. Блок проверки доступа на чтение разрешает действие чтения только в случае, если сигнал уровня доступа к объекту меньше либо равен сигналу уровня привилегий пользователя. Если доступ пользователя к объекту разрешается блоком проверки доступа на чтение, то управление передается дальше на блок проверки наличия запроса на запись. Блок проверки наличия запроса на запись, проверяет, есть ли среди множества сигналов запрашиваемых действий над объектом действие записи. Если нет, то управление передается на следующий блок разрешения доступа. Если действие записи присутствует в множестве сигналов запрашиваемых действий над объектом, то управление передается на следующий блок проверки доступа на запись. Блок проверки доступа на запись разрешает действие чтения только в случае, если сигнал уровня доступа к объекту больше либо равен сигналу уровня привилегий пользователя. Если доступ пользователя к объекту разрешается блоком проверки доступа на запись, то управление передается дальше на блок разрешения доступа. Если доступ к объекту запрещается любым из вышестоящих блоков, то управление передается на блок запрета доступа. Блок запрета доступа осуществляет регистрацию события попытки несанкционированного доступа пользователя к объекту, путем отправки сигнала регистрации несанкционированного доступа на сервер аудита безопасности, затем пользователю ядро возвращает сигнал об ошибке. Блок разрешения доступа осуществляет отправку сигнала разрешения доступа пользователя к объекту, затем изначальный сигнал запроса доступа к объекту передается от ядра к серверу ресурсов для дальнейшей обработки.

Пример реализации способа. В системе зарегистрирован пользователь User1. Ему заранее был присвоен сигнал идентификатора пользователя 5643 и сигнал идентификатора образа пользователя, который включает в себя сигнал доступа уровня доступа 2, сигнал роли User, и множество сигналов категорий М={А,В}. Пусть есть объект Object1, которому заранее был присвоен сигнал идентификатора объекта 12592543 и сигнал метки объекта, включающий в себя сигнал имени объекта File1.txt, сигнал уровня доступа к объекту 1, сигнал множества категорий объекта O={B}, и сигналы идентификатора действий пользователя, которые для пользователя User1 содержат только действие чтения R. Затем пользователь осуществляет идентификацию и аутентификацию в системе, получая при этом сигнал идентификатора 5643.

Затем пользователь формирует сигнал на обслуживание, включающий в себя сигнал идентификатора пользователя 5643, сигнал идентификатора объекта 12592543 и множество сигналов запрашиваемых действий над объектом, состоящего из действия чтения R. Этот сигнал на обслуживание передается ядру. Заранее в системе был запущен сервер ресурсов, который обслуживает объект 12592543. Получив сигнал на обслуживание от пользователя, ядро ожидает готовности сервера ресурсов обработать запрос. После этого ядро ждет готовности сервера безопасности обслужить очередной сигнал проверки запроса и формирует сигнал проверки запроса для сервера безопасности. Сигнал проверки запроса включает в себя сигнал идентификатора пользователя 5643, сигнал идентификатора объекта 12592543, множество сигналов запрашиваемых действий над объектом, включающим только действие чтения R. Сервер безопасности использует сигнал идентификатора пользователя 5643, и отправляет его серверу базы данных пользователей, который по этому сигналу возвращает в сервер безопасности сигнал образа пользователя, включающий в себя сигнал доступа уровня доступа 2, и множество сигналов категорий М={А,В}, и сигнал роли User, которая не обладает эксклюзивными правами ни на один объект. Затем сервер безопасности, используя сигнал идентификатора объекта 12592543 и сигнал идентификатора пользователя 5643 отправляет запрос серверу базы данных атрибутов безопасности, который по этому сигналу возвращает серверу безопасности сигнал метки объекта, включающий в себя сигнал уровня доступа к объекту 1, сигнал множества категорий объекта O={В} и сигналы идентификатора действий пользователя, которые для пользователя User1 содержат только действие чтения R. Сервер безопасности проверяет, что роль User не обладает никакими эксклюзивными правами ни на один объект, поэтому переходит к следующей проверке. Сервер безопасности проверяет, что множество запрашиваемых действий (множество из одного элемента R, действия чтения) является подмножеством множества разрешенных действий над объектом (множество из одного элемента R, действия чтения). Поскольку это условие выполняется, то сервер безопасности переходит к следующей проверке. Сервер безопасности проверяет, что множество М включает в себя множество категорий объекта О, и поскольку это условие выполняется, то сервер безопасности переходит к выполнению следующей проверки. Поскольку множество запрашиваемых действий над объектом включает в себя действие чтения R, то сервер безопасности проверяет, что уровень доступа пользователя 2 больше уровня доступа объекта 1, поэтому доступ пользователя к объекту разрешается. Поскольку доступ разрешается, то сервер безопасности формирует сигнал разрешения доступа для ядра, которое, в свою очередь, отправляет сигнал на обслуживание к серверу ресурсов.