Правила доступа

Правила доступа бывают прямые или сложные.

Прямые правила доступа содержат один идентификатор санкции и записываются непосредственно в атрибут доступа.

Прямые правила доступа всегда имеют нечетные номера.

Сложные правила доступа представляют собой логические выражения, в качестве аргументов которых применяются идентификаторы санкций. Если санкция с неким идентификатором установлена, считается, что аргумент равен TRUE, иначе – FALSE.

Само логическое выражение всегда построено в виде дизъюнкции конъюнкций аргументов.

R = (Arg¹₁ AND … AND Arg¹_N1) OR … OR (Arg^m₁ AND … AND Arg^m_Nm)

Сложные правила доступа всегда имеют четные номера.

Пример:

Предположим, нам необходимо рассчитать сложное правило по следующему выражению:
(S₂ AND S₃ AND S₄) OR (S₁ AND S₄) OR (S₇)

где S1, S2, S3, S4, S7 - это различные санкции (прямые от ключей и паролей, другие сложные – не имеет значения). Тогда требуемое сложное правило запишется так:

(3 2 3 4) (2 1 4) (1 7)

Здесь каждая первая величина в скобках обозначает количество аргументов конъюнкции (AND).

Поиск сложных правил доступа осуществляется от директории, в которой находится файл, и выше до MF. Если правило не найдено, то считается, что соответствующий вид доступа запрещен.

В файловой системе может быть множество файлов ARF. Они могут располагаться как в одной, так и в разных директориях. Если правило не найдено в ближайшем ARF, то поиск продолжается выше, в родительском DF. Таким образом, более близкий к файлу ARF имеет приоритет. Если несколько ARF находятся в одной директории, то порядок их обхода не определен.

ОС запрещает добавлять в ARF правило с номером, который уже присутствует в одном из ARF, доступных из данной директории (т.е. находящихся в том же DF или выше). Это позволяет предотвратить маскирование правил уровня родительского DF. Вместе с тем, в ARF можно добавить правило с номером, который уже существует в одном из ARF во вложенных или не пересекающихся директориях(это не приводит к маскированию в том смысле, что на момент создания ARF во вложенном DF, этот ARF еще ничего не маскировал).