El modelo de Graham-Denning es un modelo de seguridad informática que muestra cómo se deben crear y eliminar sujetos y objetos de forma segura. También aborda cómo asignar derechos de acceso específicos. Se utiliza principalmente en mecanismos de control de acceso para sistemas distribuidos . El modelo consta de tres partes principales: un conjunto de sujetos, un conjunto de objetos y un conjunto de ocho reglas. Un sujeto puede ser un proceso o un usuario que realiza una solicitud para acceder a un recurso. Un objeto es el recurso al que un usuario o proceso desea acceder.
Este modelo aborda las cuestiones de seguridad asociadas con la definición de un conjunto de derechos básicos sobre cómo determinados sujetos pueden ejecutar funciones de seguridad en un objeto . El modelo tiene ocho reglas de protección básicas (acciones) que describen:
Además, cada objeto tiene un propietario que tiene derechos especiales sobre él, y cada sujeto tiene otro sujeto (controlador) que tiene derechos especiales sobre él.
El modelo se basa en el modelo de Matriz de Control de Acceso donde las filas corresponden a sujetos y las columnas corresponden a objetos y sujetos, cada elemento contiene un conjunto de derechos entre el sujeto i y el objeto j o entre el sujeto i y el sujeto k.
Por ejemplo, una acción A[s,o] contiene los derechos que tiene el sujeto s sobre el objeto o (ejemplo: {poseer, ejecutar}).
Al ejecutar una de las 8 reglas, por ejemplo crear un objeto, la matriz cambia: se agrega una nueva columna para ese objeto y el sujeto que lo creó se convierte en su propietario.
Cada regla está asociada a una condición previa, por ejemplo, si el sujeto x quiere eliminar el objeto o, debe ser su propietario (A[x,o] contiene el derecho 'propietario').
Harrison-Ruzzo-Ullman amplió este modelo definiendo un sistema de protección basado en comandos compuestos de operaciones y condiciones primitivas.