国内经常把DAC叫做“自主访问控制”.

时间:2021-08-29 17:15:28

摘自:http://www.infosecurity.org.cn/article/pki/accessctrl/24069.html

 

自主访问控制(DAC)

  自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。

自主访问控制中,用户可以针对被保护对象制定自己的保护策略。

  •  每个主体拥有一个用户名并属于一个组或具有一个角色
  •  每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL
  •  每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制

  在商业环境中,你会经常遇到自主访问控制机制,由于它易于扩展和理解。大多数系统仅基于自主访问控制机制来实现访问控制,如主流操作系统(Windows NT Server, UNIX 系统),防火墙(ACLs)等。

  强制访问控制和自主访问控制有时会结合使用。例如,系统可能首先执行强制访问控制来检查用户是否有权限访问一个文件组(这种保护是强制的,也就是说:这些策略不能被用户更改),然后再针对该组中的各个文件制定相关的访问控制列表(自主访问控制策略)。

 

强制访问控制(MAC)

  用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。

  在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。

  •  主体 (用户, 进程) 被分配一个安全等级
  •  客体 (文件, 数据) 也被分配一个安全等级
  •  访问控制执行时对主体和客体的安全级别进行比较

  用一个例子来说明强制访问控制规则的应用,如WEB服务以"秘密"的安全级别运行。假如WEB服务器被攻击,攻击者在目标系统中以"秘密"的安全级别进行操作,他将不能访问系统中安全级为"机密"及"高密"的数据。