2026-01-13 14:25:23 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章系统梳理访问控制核心逻辑，详解DAC、MAC、RBAC、Clark-Wilson四大模型及PMI特权管理基础设施，给出各模型适用场景、优缺点与实现机制，并强调按角色与属性强制隔离可防越权与数据泄露，为企业构建权限门卫提供可落地方案。 综合评分： 82 文章分类： 安全建设,应用安全,数据安全,网络安全,安全运营

cover_image

你的数据正在被”隐形越狱”？访问控制如何筑起数字高墙

原创

耶度

野猪与安全

2026年1月13日 08:30 广东

点击蓝字关注我们

在上一期身份鉴别内容中，我们聊到了 “如何证明你是你”。而身份鉴别之后，安全防护的核心就是访问控制—— 它像系统的 “权限门卫”，根据用户身份决定 “谁能访问什么资源、做什么操作”，既保证资源共享，又防止非授权访问和滥用。

今天我们就拆解访问控制的核心逻辑：从基础概念到四大经典模型（DAC/MAC/RBAC/Clark-Wilson），再到 PMI 特权管理基础设施，带你搞懂 “权限分配” 的安全原理。

一

｜资源安全的 “权限门卫”

什么是访问控制？

简单说，访问控制是在 “最大限度共享系统资源” 的基础上，对用户访问权的精细化管理。核心目标是：

允许合法用户在安全策略内正常工作（比如员工访问自己的办公文件）；
拒绝非法用户的非授权访问（比如黑客试图访问服务器后台）；
拒绝合法用户的越权操作（比如普通员工试图修改管理员配置）。

访问控制的核心：访问控制模型

访问控制不是 “凭感觉分配权限”，而是基于 “访问控制模型”—— 一套标准化的规则集合，用于定义 “主体（用户 / 设备）如何访问客体（文件 / 系统 / 数据）”。

模型可以是 “非形式化” 的（比如简单的权限列表），也可以是 “形式化” 的（比如数学定义的安全规则），不同模型对应不同的安全需求。

访问控制分类

二

｜四大经典访问控制模型

访问控制模型有多种，其中最核心的是四大经典模型，分别适用于不同场景：

自主访问控制模型（DAC）：“我的资源我做主”

（1）核心逻辑

客体（文件、数据）的属主（创建者）决定访问权限—— 比如你创建的文档，可自主决定谁能读、谁能改、谁能删。

（2）实现机制

访问控制表（ACL）：权限与客体绑定（比如给文档设置 “仅好友可查看”）；
访问能力表：权限与主体绑定（比如给用户分配 “可编辑所有办公文件” 的权限）。

（3）优缺点

优点：灵活度高、易用性强、可扩展性好（比如随时修改文件权限），被大量民用系统采用；
缺点：安全性较低 —— 属主可随意转让权限，信息传递过程中权限关系可能被篡改（比如你把机密文档权限分享给他人，他人可能再转发）。

（4）典型应用

Windows/Linux 文件系统的权限设置、普通网站的文档共享功能。

强制访问控制模型（MAC）：“系统说了算，谁也改不了”

（1）核心逻辑

主体（用户）和客体（资源）都被分配固定的安全属性（比如 “绝密、机密、秘密、公开”），系统根据安全属性强制决定访问权限 —— 任何用户都无法自主修改权限，安全性极高。

（2）经典子模型：BLP 模型（机密性优先）

提出背景：1973 年由 Bell 和 LaPadula 提出，模拟军事安全策略，是第一个严格形式化的安全模型；
核心目标：多级安全模型，保证信息机密性（防止高密级信息泄露）；
安全属性：每个主体 / 客体都有 “密级 + 范畴”（比如 “机密 + 外交”“秘密 + 商务”）；
核心规则：
简单安全规则（向下读）：主体只能读取 “安全属性低于或等于自己” 的客体（比如 “机密级” 用户不能读 “绝密级” 文档）；
*- 规则（向上写）：主体只能向 “安全属性高于或等于自己” 的客体写入数据（比如 “秘密级” 用户不能向 “公开级” 文档写入机密信息）。

（3）经典子模型：Biba 模型（完整性优先）

提出背景：1977 年由 Biba 提出，与 BLP 模型数学上 “对偶”，专注数据完整性；
核心目标：防止数据被非法篡改、破坏（比如商业数据、医疗记录）；
安全属性：每个主体 / 客体都有 “完整级 + 范畴”（比如 “极为重要 + 财务”“重要 + 人事”）；
核心规则：
向上读：主体只能读取 “完整级高于或等于自己” 的客体（比如 “重要级” 用户只能读 “极为重要” 或 “重要” 的文档，保证数据来源可靠）；
向下写：主体只能向 “完整级低于或等于自己” 的客体写入数据（比如 “极为重要级” 用户不能向 “重要级” 文档写入数据，防止高完整性数据被污染）。

（4）优缺点

优点：安全性极高，强制控制权限，适合高安全需求场景；
缺点：灵活性差、易用性低（权限无法自主调整），仅适用于军事、政务等对安全要求极高的系统。

Clark-Wilson 模型：“商业场景的完整性守护者”

（1）核心逻辑

1987 年由 Clark 和 Wilson 提出，专为商业应用设计，核心是确保商业数据的完整性（比如财务数据、交易记录）。

（2）核心特点

强调 “操作前后的数据一致性”：每次操作前验证数据合法性，操作后确保数据未被篡改；
引入 “事务处理” 思想：比如财务转账时，必须同时修改转出账户和转入账户的余额，确保数据平衡。

（3）典型应用

银行转账系统、财务记账系统、电商交易系统等对数据完整性要求极高的商业场景。

基于角色的访问控制模型（RBAC）：“按角色分配权限，灵活又安全”

（1）核心逻辑

系统先内置固定角色（比如 “管理员、普通员工、财务、人事”），将权限与角色绑定，用户需先成为某个角色，才能获得对应权限 —— 比如 “财务角色” 绑定 “查看工资数据、录入报销信息” 权限，员工成为 “财务角色” 后自动获得这些权限。

（2）模型构成（四大类型）

RBAC0（基本模型）：核心要素是 “用户（U）、角色（R）、会话（S）、权限（P）”，定义了角色与权限的基础关联；
RBAC1（角色继承）：在 RBAC0 基础上，加入角色继承关系（比如 “高级管理员” 继承 “普通管理员” 的所有权限）；
RBAC2（权限约束）：在 RBAC0 基础上，加入约束条件（比如 “财务和审计不能是同一人”，防止内部舞弊）；
RBAC3（综合模型）：结合 RBAC1 和 RBAC2，既支持角色继承，又支持权限约束，是最完善的 RBAC 模型。

（3）优缺点

优点：灵活性高（角色可按需定义）、易管理（批量给用户分配角色即可）、安全性好（权限与角色绑定，避免越权）；
缺点：角色定义需要提前规划，适合用户量大、权限类型多的企业级系统。

（4）典型应用

企业 OA 系统、CRM 系统、云服务平台的权限管理。

延伸：基于规则的访问控制

在 RBAC 模型基础上加入 “动态规则”，比如 “工作日 9:00-18:00 允许访问”“异地登录需二次验证”，实现权限的灵活动态调整，适用于复杂业务场景。

三

｜进阶：特权管理基础设施（PMI）

当企业规模扩大、系统增多时，需要一套统一的权限管理体系，这就是PMI（特权管理基础设施）。

PMI 的核心定位

PKI 解决 “你是谁”（身份鉴别），PMI 解决 “你能做什么”（授权管理）；
建立在 PKI 基础上：通过 PKI 确认用户身份后，PMI 根据用户身份分配权限；
类比：PKI 像 “护照”（证明身份），PMI 像 “签证”（规定可做的事）。

PMI 的核心组件

SOA（信任源点）：PMI 的根信任机构，负责制定权限管理规则；
AA（属性权威）：签发 “属性证书”（记录用户身份与权限的关联）；
ARA（注册权威）：受理用户的权限申请、更新、撤销；
LDAP（属性证书库）：存储属性证书，供系统查询验证；
ACRL（属性证书撤销列表）：记录失效的属性证书，防止权限滥用。

核心载体：属性证书

以电子证书形式记录 “用户 – 角色 – 权限” 的关联关系，比如 “用户张三 – 财务角色 – 查看工资数据权限”，由 AA 签发，具有不可伪造、可验证的特点。

4. PKI 与 PMI 对比

下期预告

今天我们聊了访问控制的核心逻辑：从自主访问、强制访问到角色化访问，再到集中化的 PMI 特权管理，本质都是 “按规则分配权限”。

下一期，我们将进入信息安全的 “新赛道”——信息安全保障新领域：随着技术发展，

AI 安全、云安全、数据安全等新场景的安全保障逻辑是什么？带你解锁信息安全的前沿方向！

你们公司目前用的是哪种权限管理方式？有没有遇到过越权访问的问题？欢迎在评论区分享你的经历！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全耶度《你的数据正在被”隐形越狱”？访问控制如何筑起数字高墙》