自主访问控制是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时组织非授权用户访问客体，某些用户还可以把自己拥有的客体的访问权限授予其他用户

自主访问控制又被称为任意访问控制，linux unix windows操作系统都提供自主访问控制功能，在实现上，首先鉴别用户身份，然后赋予用户权限，主体控制权限的修改往往由特权用户来实现，自主访问控制的模式：

1. 访问控制矩阵：任何访问控制策略最终可以被模型化为访问矩阵模式，其实就是一个表，表中记录了用户名和改用户所能访问的目标和对这个目标的权限，访问矩阵每行表示一个主体，每列表示一个受保护的客体，矩阵中的元素表示主体对客体的访问模式

2. 访问能力表（CL）和访问控制表(ACL)：看到上面那个矩阵了吗，假如说，主体在行，客体在列，也就是对应主体看各个客体的访问权限，这样的表叫访问能力表。假如说，客体在行，主体在列，也就是通过客体来看哪个主体有权访问它，那么这样的表叫访问控制表

3. 自主访问控制模型是通过访问控制矩阵来实现的，具体的实现方法是通过访问控制表和访问能力表来限定哪些主体针对哪些客体采取什么样的操作

4. 对于访问控制表ACL来说，保存位置通常在客体，可以很轻易的浏览和回收访问权限，但是访问权限的传递是困难的，主要使用与集中式系统

5. 对于访问能力表CL来说，通常保存在主体，主要应用于分布式系统，这样浏览和回收访问权限是困难的，但是访问权限的传递变得简单

6. 由于分布式系统很难确定给定客体的潜在主体集，因此在现代操作系统中，CL也得到广泛应用，是吧，对于一个系统的文件来说，客体往往是一定的，但是主体就不好确定，因为使用的人很多，所以只能使用CL访问能力表

7. 自主访问控制的优缺点：

a) 优点在于可以根据主体的身份和访问权限进行决策，具有某种访问能力的主体能够自主的将访问权的某个子集授予其他主体，灵活性高

b) 缺点是信息在传递过程中其访问权限关系会被改变

8. 比如我们实验室的那个OA系统就是一个自主访问控制系统的例子，普通的老师能干嘛，管理员能干嘛，等等

首发于我的个人网站: 点击打开链接