| 基于列的自主访问控制机制是在每个客体上都附加一个可访问它的主体的明细表,它有两种形式,即保护位(protection bits)和访问控制表(Access Control List,ACL)。
|
|
|
|
|
| 这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合,通常以比特位来表示访问权限。UNIX/Linux系统就利用这种访问控制方法。
|
|
|
|
|
| 访问控制表简称ACL,它是在每个客体上都附加一个主体明细表,表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。它的一般结构如下图所示。
|
|
|
|
|
|
|
| 对于客体file1,主体ID1对它只具有读(r)和运行(x)的权力,主体ID2对它只具有读的权力,主体ID3对它只具有运行的权力,而主体IDn则对它同时具有读、写和运行的权力。
|
|
|
| 自主访问控制是最常用的一种对网络资源进行访问约束的机制,其好处是用户自己根据其安全需求,自行设置访问控制权限,访问机制简单、灵活。但这种机制的实施依赖于用户的安全意识和技能,不能满足高安全等级的安全要求。例如,网络用户由于操作不当,将敏感的文件用电子邮件发送到外部网,则造成泄密事件。
|
|
|
