主體
通常指用戶,或代表用戶意圖運行進程或設備。主體是訪問操作的主動發起者,它是系統中信息流的啟動者,可以使信息流在實體之間流動。
客體
通常是指信息的載體或從其他主體或客體接收信息的實體。
主體有時也會成為訪問或受控的對象,如一個主體可以向另一個主體授權,一個進程可能控制幾個子進程等情況,這時受控的主體或子進程也是一種客體。
訪問控制分類
客體不受它們所依存的系統的限制,可以包括記錄、數據塊、存儲頁、存儲段、檔案、目錄、目錄樹、庫表、信箱、訊息、程式等,還可以包括比特位、位元組、字、欄位、變數、處理器、通信信道、時鐘、網路結點等。
自主訪問控制管理的方式不同就形成不同的訪問控制方式。一種方式是由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體,這種控制方式是自主的,我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。在自主訪問控制下,一個用戶可以自主選擇哪些用戶可以共享他的檔案。Linux系統中有兩種自主訪問控制策略,一種是9位許可權碼(User-Group-Other),另一種是訪問控制列表ACL(Access Control List)。
強制訪問控制強制訪問控制(Mandatory Access Control——MAC),用於將系統中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說,在強制訪問控制下,用戶(或其他主體)與檔案(或其他客體)都被標記了固定的安全屬性(如安全級、訪問許可權等),在每次訪問發生時,系統檢測安全屬性以便確定一個用戶是否有權訪問該檔案。其中多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。