访问控制模型是规定主体如何访问客体的一种架构。它使用访问控制技术和安全机制来实现模型的规则和目标。访问控制模型主要有下列3种:自主访问控制、强制访问控制以及非自主访问控制(也称为角色访问控制)。每种模型都使用不同的方法来控制主体访问客体的方式,并且具有各自的优点和缺点。组织机构的业务和安全目标以及公司的文化和业务运作管理模式,有助于确定应当使用哪一种访问控制模型。某些公司只使用一种模型而其他公司则通过组合使用几种模型来提供必要的保护级别。这些模型内置在不同操作系统的核心或内核中,而且还可能内置于支持性的应用程序中。每个操作系统都具有一个实施引用监视器概念的安全内核,其实施方式取决于嵌入系统的访问控制模型类型。对于每个访问尝试来说,在主体能够与客体进行通信之前,安全内核会通过检查访问控制模型的规则来确定是否允许访问请求。1如果某位用户创建了一个文件,那么他就是该文件的所有者。这个文件的头部置入了用户的标识符。所有权也可以被授予特定的个体。例如,某位部门经理可以成为其管理范围内的文件和资源的所有者。使用自主访问控制(DiscretionaryAccessControl,DAC)的系统使资源的所有者能够指定哪些主体可以访问该资源。因为对访问的控制基于所有者的自主决定,所以这种模型称为自主型。很多时候,部门经理或业务经理是他们所在部门内数据的所有者。作为所有者,他们能够指定谁能够和谁不能够访问这些数据。在DAC模型中,基于为用户授予的授权限制访问。这意味着,用户被允许指定对其拥有的客体的访问类型。如果某个组织机构使用DAC模型,那么网络管理员能够允许资源所有者控制哪些人可以访问他们的文件。DAC的最常见实现方式是访问控制列表(ACL),ACL由所有者规定和设置,由操作系统实施。DAC使得用户访问信息的能力更加动态化,这与强制访问控制(MandatoryAccessControl,MAC)的静态特性形成对比。2在强制访问控制(MAC)模型中,用户不像在DAC模型中那样拥有决定谁能访问客体的权力。出于安全的考虑,基于MAC模型的操作形态大大减少了用户的权利、许可和可用功能。在基于MAC模型的多数系统中,用户不能安装软件、改变文件许可级别和添加新用户等。这个系统仅供用户从事非常特定且具体的活动。这些系统的用途通常非常具体,它们的使用是为了保护高密级数据。多数普通人都没有用到过MAC型系统,因为这些系统多由政府机构使用,用来存储最高机密的信息。这种模型更为结构化、更...
