自主访问控制和强制访问控制

redtulip

自主访问控制和强制访问控制是目前两大访问控制类型。自主访问控制主要体现在对象的属主能够自主的访问对象，并且可以把\r\n访问权限转让给他人，还可以控制是否能够再次转让。用户只要获得对象的访问权限便可以访问对象，获得相应的合法服务。否则，\r\n便无法得到相应的服务。\r\n   强制访问控制向对于自主访问控制而言，不过它比后者要求更加严格，必须满足“简单安全原则”和“星原则”的访问控制检查，才可以最终合法的访问对象。上述这两种原则主要是为了控制信息流\r\n的流向，防止高密级的信息流流向低密级，进而防止“特洛伊木马”。在强制访问控制中，给主体和客体分配了安全级别。\r\n   问题1：\r\n    是否在强制访问控制系统中，不给访问主体分配权限，只要满足\r\n   安全原则就可以访问呢？\r\n   我个人的理解是主体必须具备客体的访问权限，并且满足强制 安全原则，才可以访问。

zhangcisco

Q1:Y\r\n\r\n在MAC中,主体的权限是基于已划分好等级的信息来严格的定义,如 rule-based access control list等,只要它满足该rule,应该就可以访问到相应的object.\r\n区别于DAC是MAC不能转让或授权访问权限.\r\n\r\n个人观点.

bluecoat

请问你知道有哪些开源的利用ACL的DAC系统？能给我说说吗？谢谢

redtulip

目前我们常见的DBMS大都是DAC模型的使用。