访问控制 第2节.pptVIP

身份认证与访问控制技术 自主访问控制（Discretionary Access Control，DAC） 由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。 Linux, Unix, Windows NT或是SERVER版本的操作系统都提供自主访问控制的功能。在实现上，首先要对用户的身份进行鉴别，然后按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。 自主安全性策略 普通用户能参与一个安全性策略的策略逻辑的定于与安全属性的分配 两个概念 存取许可：能够允许主体修改客体的访问控制表。等级型(树型)，拥有型，自由型 存取模式：经过存取许可后，对客体进行的各种不同的存取操作。包括读，写，执行 存取许可目的定义或改变存取模式，存取模式的目的在于确定如何访问客体 DAC模型的特点是授权的实施主体（可以授权的主体、管理授权的客体、授权组）自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限限制的目的。 任意访问控制对用户提供的灵活的数据访问方式，使DAC广泛应用在商业和工业环境中；由于用户