一、原理

• 访问控制是计算机安全的核心元素
• 计算机安全的主要目的就是防止非授权用户对资源的访问，防止合法用户以非授权的方式访问资源
• 访问控制的基本元素：主体（能够访问客体的实体），客体（外界对其访问收到限制的资源，例如 文件，目录，邮箱，程序），访问权限（描述主体可以访问客体的方式 【读，写，执行，删除，创建，搜索】）  
• 访问控制策略：自主访问控制，强制访问控制，基于角色的访问控制，基于属性的访问控制
• 访问控制包括的内容：

                        认证：考虑对合法用户进行验证

                        控制策略实现：对控制策略的选用与管理，对非法用户或是越权操作进行管理

                        审计：对非法用户或是越权操作进行追踪

• 访问控制的应用类型，根据应用环境分类可分为

                      物理，网络（防火墙），操作系统，应用（如大型数据库的数据表的访问控制策略）

二、访问控制模板

1.自主访问控制（DAC)

                                访问控制的分类法：

                                                                 1.基于访问控制属性：分成访问控制表和访问控制矩阵

                                                                 2.基于用户和资源分档“安全标签”分成多级访问控制

                                自主访问控制主要包括的形式：

• 访问控制表：

• 访问能力表：

• 访问控制矩阵：

• 授权关系表：

这是一个更加简洁的表现方式，会每次记录主体有哪些权限，并且是对谁有此权限都会详细记录在本表格中

         自主访问控制的应用：

优点：每个主体都有用户名，每个客体都有一个限制主体对其访问的访问控制列表ACL

所以自主访问控制灵活性高，可拓展，粒度细

缺点：对已经有权限的主体，在如何使用和信息传播方面，没有强加任何权限

应用于商业和工业：例如主流的操作系统，防火墙ACL

2.强制访问控制（MAC）

 MAC通过分级的安全标签实现了信息的单向流通，一直被军方采用，其中最著名的两个模型就是

Bell-LaPadula模型和Bida模型

3.基于角色的访问控制(RBAC)

原理：一个主体被授权到一个被授权的组中，主体访问客体时，先提交组的属性

 四、安全级别（TCSEC）

1.  D级别是最低的安全级别，对系统提供最小的安全防护（DOS ,WINDOWS98）
2. C级别属于自由性安全保护

• C1可实现用户和数据的分离，保护或限制用户权限的传播
• C2比C1划分的更详细，能够实现受控安全保护、个人账户管理、审计和资源隔离（UNIX,LINUX和WindowsNT系统） 

 3.B级别 能够提供强制存取控制和自主存取控制

4.A级别 称为验证设计级，是目前最高的安全级别，只应用到军方

五、总结

访问控制我认为就是针对主体要对客体进行不合规的访问的控制，其包含4个策略或模型，分别是自主访问控制，强制访问控制，基于角色的访问控制，基于属性的访问控制

自主访问控制因为它具有访问控制列表（ACL），访问能力表等形式，所以它每个客体都有一个限制主体对其访问的访问控制列表ACL，粒度细，效率低，只要用于工商业

强制访问控制 MAC 和 DAC 的区别就在于强制两个字，强制体现在只能由系统来给主体和客体分配安全等级，访问控制执行时进行等级比较，它的等级，安全性高，但缺乏灵活性，被军方采用

基于角色访问控制 一个角色被放到一个组中，执行访问控制时先提交所在组的属性，再进行访问，通过增加了一层间接性带来了灵活性

观看b站计算机狂人老时的视频后，做学习笔记，笔记里面的图片大多引用自视频