自主访问控制的方法.docVIP

自主访问控制的方法

自主访问控制（DiscretionaryAccessControl，DAC）是信息安全领域中一种基础且广泛应用的访问控制模型，其核心思想在于资源所有者对资源的访问权限拥有自主决策权。这意味着，资源的创建者或管理者可以根据自身需求，灵活地将资源的访问权限授予其他用户或主体，也可以随时收回这些权限。这种模型的设计初衷是为了满足用户对资源的灵活管理需求，尤其在多用户共享环境中，能够有效平衡资源的可用性与安全性。

一、自主访问控制的核心概念

要深入理解自主访问控制的方法，首先需要明确其核心构成要素。这些要素是构建和实施DAC模型的基础，也是理解各种具体实现方法的关键。

主体（Subject）：指主动发起访问请求的实体，通常包括用户、用户组、进程或服务。主体是访问行为的执行者，其身份和权限决定了是否能够访问特定资源。例如，在操作系统中，一个登录的用户就是一个主体；在数据库系统中，一个执行查询的应用程序进程也可以被视为一个主体。

客体（Object）：指被访问的被动实体，是主体操作的对象。客体可以是文件、目录、数据库表、记录、网络端口、打印机等任何可以被访问或操作的资源。客体的类型和属性决定了可以对其执行的操作类型。

权限（Permission）：指主体对客体可以执行的具体操作。权限的种类因客体类型而异。例如，对于文件客体，常见的权限包括读取（Read）、写入（Write）、执行（Execute）和删除（Delete）；对于数据库表客体，权限可能包括查询（Select）、插入（Insert）、更新（Update）和删除（Delete）。

访问控制矩阵（AccessControlMatrix）：这是一种理论上的表示方法，用于描述所有主体对所有客体的权限关系。矩阵的行代表主体，列代表客体，矩阵中的每个单元格则表示对应主体对对应客体所拥有的权限集合。虽然访问控制矩阵在理论上清晰明了，但在实际系统中，由于主体和客体数量庞大，直接存储和管理这样的矩阵往往效率低下，因此更多地采用基于行或基于列的存储方式，如能力表（CapabilityList）或访问控制列表（AccessControlList）。

二、自主访问控制的主要实现方法

自主访问控制模型的具体实现方法多种多样，不同的操作系统、数据库管理系统和应用程序可能采用不同的机制。以下是几种最为常见和典型的实现方法：

（一）访问控制列表（AccessControlList,ACL）

访问控制列表是目前应用最广泛的DAC实现方法之一。它的核心思想是为每个客体附加一个列表，该列表明确指定了哪些主体可以对该客体执行哪些操作。简单来说，就是“告诉客体，谁可以对你做什么”。

工作原理：当主体试图访问一个客体时，系统会检查该客体的ACL。如果主体在ACL中，并且请求的操作被明确允许，则访问被授权；否则，访问被拒绝。

典型应用：

文件系统：如Unix/Linux系统中的文件权限机制。每个文件和目录都有一个ACL（尽管在基础权限中，它被简化为所有者、所属组和其他用户三个类别）。更复杂的ACL（如POSIXACL）允许为更多特定用户或组设置权限。

网络设备：如路由器和防火墙使用ACL来控制数据包的进出。例如，一个ACL规则可以允许来自特定IP地址的流量访问某个端口。

Web服务器：如Apache或Nginx使用ACL来控制对特定目录或文件的访问权限，例如限制某些IP地址访问管理后台。

优点：

直观易懂：权限管理直接与客体相关联，管理员可以清晰地看到谁对某个资源有什么权限。

易于管理客体权限：当需要修改某个客体的权限时，只需直接编辑该客体的ACL即可，无需遍历所有主体。

缺点：

主体权限分散：要查看一个主体拥有的所有权限，需要遍历系统中所有客体的ACL，这在大型系统中非常繁琐。

扩展性问题：对于拥有大量主体和客体的系统，维护和管理众多ACL条目可能会变得复杂且容易出错。

（二）能力表（CapabilityList）

能力表是另一种重要的DAC实现方法，与ACL正好相反。它的核心思想是为每个主体附加一个列表，该列表明确指定了该主体可以访问哪些客体以及对这些客体拥有哪些权限。简单来说，就是“告诉主体，你可以对谁做什么”。

工作原理：主体在请求访问客体时，必须出示其拥有的“能力”（即权限凭证）。系统验证该能力是否有效，以及是否允许请求的操作。能力通常是不可伪造的，并且可以被传递或撤销。

典型应用：

分布式系统：在分布式环境中，能力表可以作为一种安全的凭证，在不同节点间传递，证明主体的权限。例如，在某些分布式文件系统或对象存储系统中可能会采用。

某些编程语言和操作系统：如早期的Lisp机器、Hydra操作系统等。现代一些微内核或基于能力的操作系统（如Fuchsia的某些设计理念）也借鉴了