В проекте Гамбургского Университета, официальной является политика безопасности Bell LaPadula, и две поддерживаемых политики (Security Information Modification-, Functional Control- Policies) реализованы в соответствии с концепцией GFAC в операционных системах Linux (смотри [Fischer-Hubner 1997], [Fischer-Hubner et al. 1998], [Ott 1998]). GFAC это структура для выражения и интеграции многочисленных компонентов безопасности. GFAC позволяет использовать несколько политик безопасности одновременно выбирая для конфигурирования набор свойств (из доступных) необходимый для решения поставленной задачи (смотри [Abrams et al. 1990], [LaPadula 1995]).
В соответствии с с архитектурой GFAC, Защищенная (доверенная) Вычислительная Среда (TCB) состоит из модуля управления доступом (AEF) и модуля принятия решения управления доступом (ADF). ADF реализует принудительную системную политику безопасности и мета-политику для решения, удовлетворяют ли запросы процессов этой политике защиты. AEF использует решения ADF для проведения операций с уместными, в плане безопасности, функциями системного вызова.
В нашей Linux-реализации GFAC (которую мы назвали RSBAC: "Rule-Set Based Access Control"), система контроля доступа ядра разделена на ADF- и AEF-компоненты и модуль ACI, который управляет Access Control Information (ACI, например, атрибуты безопасности) являющимся центральным хранилищем атрибутов безопасности в системе. Схема 1 демонстрирует взаимодействие между компонентами системы. Для каждого уместного, с точки зрения безопасности, системного вызова (если субъект желает получить доступ к объекту) AEF направляет запрос решения к ADF. Параметрами для запроса решения являются тип запроса, описывающий желаемый тип функциональности, идентификацию вызывающего процесса и, по возможности, идентификатор цели доступа (субъект или объект). ADF оценивает политику защиты при помощи правил политики для типа запроса и для этих правил необходим ACI. Если затем оценивается его мета-политика, то используются решения различных политик защиты для окончательного определения запроса процесса. Затем AEF реализует решение либо выполнением функций системного вызова, либо возвратив вызывающему процессу сообщение об ошибке. В первом случае, после успешного выполнения, ADF получает уведомление, в следствие чего атрибуты могут быть приведены в соответствие. И наконец, контроль возвращается к процессу.