自主访问控制和强制访问控制最通俗易懂的解释

　　提到访问控制，总是被那些高大上的名词，比如自主访问控制，强制访问控制，BLP模型还有一堆看不懂的名词所困扰。当你去问那些业界的人时，也经常会被他们的解释弄得晕头转向。本文想要告诉你，访问控制其实没有想象中的那么难学。

访问控制的构成

有人的地方才有江湖，要实现访问控制，自然是有主体，客体，还有一定的策略或者叫机制。

主体： 访问的发起者。
客体： 可供访问的各种软硬件资源。
策略： 定义了主体对于客体的访问权限。
访问控制的目标： 依据授权，对提出的资源访问请求进行控制，防止未授权的访问。

未授权的访问主要包括：未经授权的使用，泄露，销毁信息以及颁发指令等等。

如此说来，现实生活中我们经常接触到访问控制，比如：有一些会议室锁门，防止外人闯入，取走宝贵的资料。再比如，学校的图书馆，寝室等等需要用校园卡刷卡进入，只有拥有校园卡的人才可以进入图书馆。

所以策略就体现在其中了，比如我们猜测图书馆对于策略的规定是只有学生，严格意义上是只有持有校园卡的学生才能进入图书馆，这就是一种策略。而且这种策略是强制访问控制(这个稍后提到)，不是说你想带着自己的家人进来就进来的(当然也可以用身份证登记啥的)。

自主访问控制

Linux中有一部分就是自主访问控制，比如你自己的工作目录，你可以设置others的权限，让它们读或是写或是执行这些文件。

自主访问控制是一种最为普遍的访问控制手段，特点就是根据主体的身份和授权来决定访问模式。

那么问题就出在这里，比如你将你的秘密告诉了你的某个闺蜜或是哥们，然后叮嘱她或他千万不要说出去，结果她或他偏偏就说出去了2333。这就体现出自主访问控制的不安全了，因为这种策略是根据主体的身份和授权来决定访问模式的，我想告诉别人就告诉别人，你也管不着我。

具体应用的时候还有一些缺点，如:

用户数量众多，管理的数据量很大，由于DAC控制的粒度是单个用户，访问控制的策略会很庞大，为什么说会很庞大呢？试想每个用户都要对自己的文件进行一定的权限管理，那么这个访问控制矩阵大概就是用户数乘以文件数那么大，存储这个矩阵所耗费的资源也会很大。
当组织内部的人员发生变化或者是工作职能放生变化的时候，访问控制策略的修改变得异常困难。

强制访问控制

既然你自己管不好，那么就让我来帮你管，这就是强制访问控制，具体到比如图书馆对于进入人员的管理就是强制访问控制，考试的时候监考人员对于考生的管理也是一种强制访问控制。

MAC是系统对所有的主体及其所控制的客体指定敏感标记，这些标记是等级分类和非等级分类别的组合，是实时强制访问控制的依据，MAC通过安全标签来实现信息的单项流通。

如何理解MAC中的强制？

所谓强制就是安全属性由系统管理员人为设置，或者由操作系统自动地按照严格的安全规则与策略进行设置。用户是不能自己修改的，比如考试的时候是不能由我来决定是否将试卷给别人看的。