企业新闻

访问控制模型的基本概念二

2018-03-21 21:57:33 | 来源:中培企业IT培训网

主体接收客体相关信息和数据,也可能改变客体相关信息。一个主体为了完成任务,可以创建另外的主体,这些子主体可以独立运行,并由父主体控制它们。客体始终是提供、驻留信息或数据的实体。主体和客体的关系是相对的,角色可以互换。

访问权限是指主体对客体所执行的操作。文件是系统支持的最基本的保护客体。常见文件访问模式有:

◇读:允许主体对客体进行读访问操作;

◇写:允许主体对客体进行修改,包括扩展、收缩及删除;

◇执行:允许主体j降客体作为一种可运行文件而运行;

◇拒绝访问:主体对客体不具有任何访问权。

此外,目录也是常见的保护客体。目录常作为结构化文件或结构化段来实现。对目录的访问模式可以分为读和写。

读:允许主体看到目录实体,包括目录名、访问控制表以及该目录下的文件与目录的相应信息。

写:允许主体在该目录下增加一个新的客体。也就是说,允许主体在该目录下生成与删除文件或予目录。

访问控制的实施一般包括两个步骤:第一步鉴别主体的合法身份;第二步根据当前系统的访问控制规则授予用户相应的访问权。访问控制过程如下图所示。首先主体向访问控制实施部件提交访问请求,收到主体的访问请求后,访问控制实施部件将该请求提交给访问控制决策部件,访问控制决策部件依据请求中的主体、客体和访问权判断是否允许授权。如果依据当前访问控制规则,允许该授权,则将决策结果返回访问控制实施部件,访问控制实施部件向客体提出访问请求,主体执行对客体的授权访问。如果拒绝该授权,则访问控制实施部件拒绝主体提交的访问请求,主体不执行对请求客体的操作。

标签: 访问控制模型