| 自主访问控制(Discretionary Access Control,DAC)是目前计算机系统中实现最多的访问控制机制,是在确认主体身份以及它们所属组的基础上对访问进行限定的一种方法。传统的DAC最早出现在20世纪70年代初期的分时系统中,它是多用户环境下最常用的一种访问控制技术,在目前流行的UNIX类操作系统中被普遍采用。其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。
|
|
|
| 20世纪70年代末,M.H. Harrison、W.L. Ruzzo、J.D. Ullma等对传统DAC做出扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的HRU访问控制模型,并设计了安全管理员管理访问权限扩散的描述语言。到了1992年,Sandhu等人为了表示主体需要拥有的访问权限,将HRU模型发展为TAM(Typed Access Matrix)模型,在客体和主体产生时就对访问权限的扩散做出了具体的规定。随后,为了描述访问权限需要动态变化的系统安全策略,TAM发展为ATAM(Augmented TAM)模型。
|
|
|
| 目前,我国大多数信息系统的访问控制模块基本都是借助于自主型访问控制方法中的访问控制表(ACL)。自主访问控制有一个明显的特点就是这种控制是自主的,能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问(间接访问就是利用访问的传递性,即A可访问B,B可访问C,于是A可访问C)。虽然这种自主性为用户提供了很大的灵活性,但同时也带来了严重的安全问题。
|
|
|
