(一)自主访问控制(Discretionary Access Control,DAC)
最常见的访问机制机制,客体所有者按照自身安全策略授予系统中其他用户对其的访问权。
优点:用户根据自身安全需求,自行设置访问控制权限,访问机制简单灵活。
缺点:实施依赖于用户安全意识和技能,不能满足高安全等级安全要求。
(二)基于行的自主访问控制方法
在主体上附加它可以访问的客体明细表
明细表 | 说明 | |
1 | 能力表(capability list) | 决定能否对客体访问以及具有何种访问模式(读R、写W、执行X) |
2 | 前缀表(profiles) | 包括受保护客体名和主体对其访问权限。 检查主体前缀是否具有它所请求的访问权 |
3 | 口令(password) | 每个客体都有相应口令。 主体访问前,必须向系统提供该客体口令 |
(三)基于列的自主访问控制
在客体上附加可访问它的主体明细表
明细表 | 说明 | |
1 | 保护位(protection bits) | 通过对所有主体、主体组以及客体拥有者指明一个访问模式集合 |
比特位表示访问权限 (UNIX,Linux) | ||
2 | 访问控制表 | Access Control List,ACL |
访问控制矩阵。表中每项都包括主体身份和主体对该客体的访问权限 |