访问控制

访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证网络资源受控地、合法地使用，它是针对越权使用资源的防御措施。
访问控制技术是建立在身份认证的基础上的。简单来说，身份认证解决的是“你是谁，你是否真的是你所声称的身份”，而访问控制技术解决的是“你能做什么，你有什么样的权限”这个问题。

访问控制系统一般包括以下几个实体：

•主体（subject）：发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。
•客体（object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。
•安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。

访问控制的目的：
限制主体对访问客体的访问权限，从而使计算机系统资源能被在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序可以做什么。访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。

目前主流的访问控制技术：
自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）。自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限。