自主访问控制

自主访问控制
• 自主访问控制DAC（discretionary access control）是目前计算机系统中实现最多的访问控制机制。
• DAC是在确认主体身份及所属组的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控制策略。
• 所谓自主，是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。
• 其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。DAC将访问规则存储在访问控制矩阵中，通过访问控制矩阵可以很清楚地了解DAC。

DAC的优缺点
• DAC的优点是其自主性为用户提供了极大的灵活性，从而使之适合于许多系统和应用。
• 由于这种自主性，在DAC中，信息总是可以从一个实体流向另一个实体，即使对于高度机密的信息也是如此，因此自主访问控制的安全级别较低。另外，由于同一用户对不同的客体有不同的存取权限，不同的用户对同一客体有不同的存取权限，用户、权限、客体间的授权管理复杂。
DAC的局限性
• 首先，DAC将赋予或取消访问权限的一部分权力留给用户个人，管理员难以确定哪些用户对那些资源有访问权限，不利于实现统一的全局访问控制。
• 其次，在许多组织中，用户对他所能访问的资源并不具有所有权，组织本身才是系统中资源的真正所有者。
• 而且，各组织一般希望访问控制与授权机制的实现结果能与组织内部的规章制度相一致，并且由管理部门统一实施访问控制，不允许用户自主地处理。显然DAC已不能适应这些需求。