四、RBAC模型
Role Based Access Control(RBAC)基于角色 的访问控制 管理员定义一系列角色（roles）并把它们赋 予主体。系统进程和普通用户可能有不同的 角色。设置对象为某个类型，主体具有相应 的角色就可以访问它。这样就把管理员从定 义每个用户的许可权限的繁冗工作中解放出 来
Discretionary Access Control（DAC）自主访问控 制模型 自主访问控制模型是根据自主访问控制策略建立的一 种模型，允许合法用户以用户或用户组的身份访问策 略规定的客体，同时阻止非授权用户访问客体，某些 用户还可以自主地把自己所拥有的客体的访问权限授 予其他用户
——DAC模型特点
谢 谢！
——MAC的安全级别
强制访问策略将每个用户及文件赋于一个访问级 别，如，最高秘密级，秘密级，机密级及无级别 级。其级别为依次降低，系统根据主体和客体的 敏感标记来决定访问模式。访问模式包括： 下读：用户级别大于文件级别的读操作； 上写：用户级别小于文件级别的写操作； 下写：用户级别等于文件级别的写操作； 上读：用户级别小于文加一个它可以访问的主体的明细表。
三、MAC模型
Mandatory Access Control（MAC）强制访问 控制 在MAC这种模型里，管理员管理访问控制。管 理员制定策略，用户不能改变它。策略定义了 哪个主体能访问哪个对象。这种访问控制模型 可以增加安全级别，因为它基于策略，任何没 有被显式授权的操作都不能执行
——MAC特点
强制访问控制（MAC）的主要特征是对所有主 体及其所控制的客体（例如：进程、文件、段、 设备）实施强制访问控制。为这些主体及客体 指定敏感标记，这些标记是等级分类和非等级 类别的组合，它们是实施强制访问控制的依据 系统通过比较主体和客体的敏感标记来决定一 个主体是否能够访问某个客体。用户的程序不 能改变他自己及任何其它客体的敏感标记，从 而系统可以防止特洛伊木马的攻击
——RBAC特点
RBAC模型是20世纪90年代研究出来的一种新 模型，从本质上讲，这种模型是对前面描述 的访问矩阵模型的扩展。这种模型的基本概 念是把许可权（Permission）与角色（Role） 联系在一起，用户通过充当合适角色的成员 而获得该角色的许可权
五、LBAC模型
现有的基于层次的访问控制模型（LBAC）就是基 于工作流视角的。它通常被用于由多个工作流管 理系统实现的组织间（inter-organizational） 工作流。原因是LBAC采用了一个独立的访问层 （Access Layer，AC），它封装了该组织的访问 控制系统。由访问层将组织内的工作流转化为组 织间的工作流，而采用同样的方式对组织内和组 织间的工作流的访问控制问题进行处理。概括说 来，所谓工作流视角的LBAC，就是指把整个访问 控制过程看作是层次化的工作流的实现
访问控制模型简介
2012年3月21日
主要内容
一、什么是访问控制 二、DAC模型 三、MAC模型 四、RBAC模型 五、LBAC模型
一、什么是访问控制
访问控制是指控制对一台计算机或一个网络中的 某个资源的访问
有了访问控制，用户在获取实际访问资源或进行 操作之前，必须通过识别、验证、授权。
二、DAC模型
自主访问控制模型的特点是授权的实施主体 （可以授权的主体、管理授权的客体、授权 组）自主负责赋予和回收其他主体对客体资 源的访问权限。DAC模型一般采用访问控制矩 阵和访问控制列表来存放不同主体的访问控 制信息，从而达到对主体访问权限限制的目 的。
——访问控制矩阵


按列看是访问控制表内容
按行看是访问能力表内容