自主访问控制和强制访问控制

显示全部楼层 · 2005-10-30 17:05:33

自主访问控制和强制访问控制是目前两大访问控制类型。自主访问控制主要体现在对象的属主能够自主的访问对象，并且可以把
访问权限转让给他人，还可以控制是否能够再次转让。用户只要获得对象的访问权限便可以访问对象，获得相应的合法服务。否则，
便无法得到相应的服务。
强制访问控制向对于自主访问控制而言，不过它比后者要求更加严格，必须满足“简单安全原则”和“星原则”的访问控制检查，才可以最终合法的访问对象。上述这两种原则主要是为了控制信息流
的流向，防止高密级的信息流流向低密级，进而防止“特洛伊木马”。在强制访问控制中，给主体和客体分配了安全级别。
问题1：
是否在强制访问控制系统中，不给访问主体分配权限，只要满足
安全原则就可以访问呢？
我个人的理解是主体必须具备客体的访问权限，并且满足强制安全原则，才可以访问。

千问 · 2005-10-30 17:05:33

Q1:Y
在MAC中,主体的权限是基于已划分好等级的信息来严格的定义,如 rule-based access control list等,只要它满足该rule,应该就可以访问到相应的object.
区别于DAC是MAC不能转让或授权访问权限.
个人观点.

千问 · 2005-10-30 17:05:33

请问你知道有哪些开源的利用ACL的DAC系统？能给我说说吗？谢谢

千问 · 2005-10-30 17:05:33

目前我们常见的DBMS大都是DAC模型的使用。