11.1 访问控制技术
11.1.2 访问控制原理
自主访问控制( Discretionary Access Control , DAC )是
一种常用的访问控制方式,它基于对主体或主体所属的主体组的识别来
限制对客体的访问,这种控制是自主的。自主是指主体能够自主的 ( 可
能是间接的 ) 将访问权或访问权的某个子集授予其他主体。
1 .自主访问控制
自主访问控制是一种比较宽松的访问控制,一个主体的访问权限具有
传递性。传递可能会给系统带来安全隐患,某个主体通过继承其他主体
的权限而得到了它本身不应具有的访问权限,就可能破坏系统的安全性。
这是自主访问控制方式的缺点。
为了实现完整的自主访问系统,访问控制一般由一个矩阵来表示。矩
阵中的一行表示一个主体的所有权限;一列则是关于一个客体的所有权
限;矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客
体的访问权限。具体实现时,往往是基于矩阵的行或者列来表达访问控
制信息。