访问控制方式总结

1、访问控制方式总结访问控制方式总结访问控制方式总结访问控制方式总结 授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程，通常是以访问控制的形式实现的。 目前人们提出的访问控制方式主要包括：自主性访问控制、强访问控制、基于角色的访问控制等 自主性访问控制自主性访问控制 强访问控制强访问控制 基于角色的访问控制基于角色的访问控制 基于上下文的访问控制基于上下文的访问控制 通用的基于角色的访问控制通用的基于角色的访问控制 基于组的访问控制基于组的访问控制 基于任务的访问控制基于任务的访问控制 基于属性的访问控制基于属性的访问控制 非自主性访问控制非自主性访问控制 基于信誉的访问控制基于信誉的

2、访问控制自主性访问控制自主性访问控制 自主访问控制(DAC)根据访问请求者的身份以及规定谁能（或不能）在什么资源进行什么操作的访问规则来进行访问控制，即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。 DAC容易造成资源管理分散，授权管理困难；用户间的关系不能在系统中体现出来；信息容易泄漏，无法抵御特洛伊木马的攻击；系统开销巨大，效率低下的缺点，不适合大型网络应用环境。强访问控制强访问控制 强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同，强制访问控制并不具备访问主体自主性，主体必须在由中央权威制定的策略规则约束下对系统资源进行访问，是基于安全标识和信

3、息分级等信息敏感性的访问控制。 在MAC中，系统安全管理员强制分配给每个主/客体一个安全属性，强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性，不能随意更改。强访问控制强访问控制 MAC应用领域也比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域；虽然MAC增强了机密性，但完整性实施不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。基于角色的访问控制基于角色的访问控制 RBAC有效地克服了传统访问控制技术的不足，降低授权管理的复杂度，降低管理成本，提高系统安全性 RBAC的核心思想就是将访问权限与角色相联系，通过给用户分配合适的角色

4、，让用户与访问权限相联系。基于上下文的访问控制基于上下文的访问控制 CBAC是在RBAC研究的基础上产生的。CBAC是把请求人所处的上下文环境作为访问控制的依据。基于上下文的访问控制，可以识别上下文，同时，其策略管理能够根据上下文的变化，来实现动态的自适应。一般地，基于上下文的访问控制利用了语义技术，以此实现上下文和策略的更高层次的描述和推理。通用的基于角色的访问控制通用的基于角色的访问控制 通用的基于角色的访问控制是RBAC的延伸，比RBAC更为灵活。RBAC不能支持与时间有关的控制，同时也不能很好地支持基于内容的控制。针对RBAC这些问题，GRBAC通过在策略中增加环境状态和客体状态来解决

5、这些问题。 与内容的访问控制不同，GRBAC主要运用与安全相关的对象状态或属性，通过对象角色来控制。基于组的访问控制基于组的访问控制 协同工作环境下的访问控制在执行特定任务时，需要动态、灵活地进行访问权限的分配、执行和管理。在协同环境中，对于执行某一个任务的特定角色，可以将这同一角色分配给很多用户。针对这种分配有同一角色的众多用户，如何进行有效的灵活管理的问题，Thomas在1997年提出基于组的访问控制（Team-based Access Control，TMAC）。基于任务的访问控制基于任务的访问控制 TBAC采用“面向服务”的观点，从任务的角度，建立安全模型和实现安全机制，依据任务和任务

6、状态的不同，在任务处理的过程中提供动态实时的安全管理。基于属性的访问控制基于属性的访问控制 基于属性的访问控制模型(ABAC)是根据参与决策的相关实体的属性来进行授权决策的。ABAC中的基本元素包括请求者，被访问资源，访问方法和条件，属性概念将访问控制中对所有元素的描述统一起来，同时摆脱了基于身份的限制。 ABAC是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能非自主性访问控制非自主性访问控制 非自主性访问控制(NDAC)适用于一部分用户的权限是既定的，但是还需要对访问权限的委托进行控制。NDAC策略必须是全局的、持久的访问控制策略，并且该策略需要一些管理员无法直接控制的信息才能做出决策（而在MAC策略中，访问控制权限完全由主体和客体的安全密级决定） 管理策略可以被分为如下几类：(l)集中式的 (2)层次化的 (3)合作式的。基于信誉的访问控制基于信誉的访问控制 其基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息。 对信任内容和