1. 自主访问控制(DAC)
- 特点:资源所有者自主决定权限分配,可将权限授予其他用户或组。
- 示例:文件系统中,用户通过ACL(访问控制列表)设置文件读写权限。
- 缺点:权限过于分散,易因用户误操作导致泄露。
---
2. 强制访问控制(MAC)
- 特点:系统根据预设的安全标签(如密级)强制执行访问规则,用户无法自主修改权限。
- 示例:军事领域采用BLP模型,限制低密级用户读取高密级数据。
- 优点:安全性高,适合高保密场景。
---
3. 基于角色的访问控制(RBAC)
- 特点:按用户角色分配权限,简化管理并降低风险。
- 示例:医院系统中,医生、护士角色对应不同操作权限。
- 优点:集中化管理,支持大规模系统权限分配。
---
4. 基于属性的访问控制(ABAC)
- 特点:动态计算用户、资源、环境等多维度属性,灵活控制访问。
- 示例:根据用户部门、时间、设备等属性限制数据访问。
- 优点:细粒度控制,适应复杂业务场景。
---
5. 基于上下文的访问控制(CBAC)
- 特点:结合用户行为、资源状态等上下文信息动态决策权限。
- 示例:防火墙中根据会话状态允许回包,或零信任架构中评估终端信任度。
- 优点:适应动态环境,防范异常操作。
---
6. 基于规则的访问控制(PBAC/HAC)
- 特点:通过预定义规则(如时间、IP、操作类型)匹配访问请求。
- 示例:仅允许工作日上午9-11点访问财务系统。
- 优点:简单易实现,适合标准化场景。
---
总结对比
类型 核心依据 灵活性 适用场景
DAC 用户自主授权 高 个人文件系统
MAC 安全标签 低 军事/政府高保密场景
RBAC 角色分工 中 企业级权限管理
ABAC 多属性动态计算 高 云环境/复杂业务逻辑
CBAC 上下文状态 中 防火墙/零信任网络
PBAC/HAC 预定义规则 中 标准化时间/IP限制
---
口诀记忆
“DAC自主分权限,MAC强制贴标签;RBAC按岗赋权,ABAC动态算属性;CBAC看上下文,规则控制保达标!”
- 特点:资源所有者自主决定权限分配,可将权限授予其他用户或组。
- 示例:文件系统中,用户通过ACL(访问控制列表)设置文件读写权限。
- 缺点:权限过于分散,易因用户误操作导致泄露。
---
2. 强制访问控制(MAC)
- 特点:系统根据预设的安全标签(如密级)强制执行访问规则,用户无法自主修改权限。
- 示例:军事领域采用BLP模型,限制低密级用户读取高密级数据。
- 优点:安全性高,适合高保密场景。
---
3. 基于角色的访问控制(RBAC)
- 特点:按用户角色分配权限,简化管理并降低风险。
- 示例:医院系统中,医生、护士角色对应不同操作权限。
- 优点:集中化管理,支持大规模系统权限分配。
---
4. 基于属性的访问控制(ABAC)
- 特点:动态计算用户、资源、环境等多维度属性,灵活控制访问。
- 示例:根据用户部门、时间、设备等属性限制数据访问。
- 优点:细粒度控制,适应复杂业务场景。
---
5. 基于上下文的访问控制(CBAC)
- 特点:结合用户行为、资源状态等上下文信息动态决策权限。
- 示例:防火墙中根据会话状态允许回包,或零信任架构中评估终端信任度。
- 优点:适应动态环境,防范异常操作。
---
6. 基于规则的访问控制(PBAC/HAC)
- 特点:通过预定义规则(如时间、IP、操作类型)匹配访问请求。
- 示例:仅允许工作日上午9-11点访问财务系统。
- 优点:简单易实现,适合标准化场景。
---
总结对比
类型 核心依据 灵活性 适用场景
DAC 用户自主授权 高 个人文件系统
MAC 安全标签 低 军事/政府高保密场景
RBAC 角色分工 中 企业级权限管理
ABAC 多属性动态计算 高 云环境/复杂业务逻辑
CBAC 上下文状态 中 防火墙/零信任网络
PBAC/HAC 预定义规则 中 标准化时间/IP限制
---
口诀记忆
“DAC自主分权限,MAC强制贴标签;RBAC按岗赋权,ABAC动态算属性;CBAC看上下文,规则控制保达标!”
