概述
自主訪問控制(Discretionary Access Control,DAC)是這樣的一種控制方式,由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體,這種控制方式是自主的。也就是說,在自主訪問控制下,用戶可以按自己的意願,有選擇地與其他用戶共享他的檔案。自主訪問控制是保護系統資源不被非法訪問的一種有效手段。但是這種控制是自主的,即它是以保護用戶的個人資源的安全為目標並以個人的意志為轉移的。
自主訪問控制是一種比較寬鬆的訪問控制,一個主題的訪問許可權具有傳遞性。
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。
實施機制(例如:訪問控制表)允許命名用戶以用戶和(或)用戶組的身份規定並控制客體的共享;阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。
自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。
標準
自主訪問控制有兩個至關重要的標準:(1)檔案和數據的所有權:系統中的每個物體都有所有者。在大多數DAC系統中,物體的所有者是產生這個物體的人(或事件,或另一個物體)。那么次物體的自主訪問控制許可權由它的產生著決定;
(2)訪問許可權及獲批:物體的所有者擁有訪問許可權,並且可以批准他人試圖訪問的請求。
