在借鉴SELinux模型的基础上，提出面向Hive的基于类型增强的强制访问控制模型TE-MAC。该模型将主体与域关联，客体与类型关联，根据域与类型之间的访问规则控制访问，最大限度地减小用户可访问资源的范围，实现最小特权原则。同时引入组层次关系，便于结构化的权限管理。基于原型系统SEHive的实现，显示其对Hive中敏感数据强制访问控制的可行性。

• 单位
  复旦大学