自主访问控制
维基百科,自由的 encyclopedia
在计算机安全中,自主访问控制(英语:discretionary access control,缩写DAC)由《可信计算机系统评估准则》[1]所定义的访问控制中的一种类型。它是根据主体(如用户、进程或 I/O 设备等)的身份和他所属的组限制对客体的访问。所谓的自主,是因为拥有访问权限的主体,可以直接(或间接)地将访问权限赋予其他主体(除非受到强制访问控制的限制)。
自主访问控制常常与强制访问控制(MAC,Mandatory Access Control,又叫非自主访问控制)对比。有时候,一个系统称其整体有“自主的”或者“纯自主的”访问控制的时候,意味着这个系统没有强制访问控制。而有的时候,系统也可以同时实现自主访问控制和强制访问控制,其中自主访问控制是指一类可以在主体之间相互转让权限的访问控制,而强制访问控制则指的是另一类强制限制权限的访问控制。