软考高级架构师：访问控制技术概念和例题

作者：明明如月学长， CSDN 博客专家，大厂高级 Java 工程师，《性能优化方法论》作者、《解锁大厂思维：剖析《阿里巴巴Java开发手册》》、《再学经典：《Effective Java》独家解析》专栏作者。

一、AI 讲解

访问控制技术是信息安全的核心组成部分，主要目的是保护系统资源不被未授权的访问所危害。它确保只有被授权的用户（或系统）才能访问或修改资源。下面是关于访问控制的核心概念解析：

• 目标：确保系统资源的安全性，防止未授权的访问，同时允许被授权的访问。
• 三要素：
  • 主体：请求访问资源的实体，通常指用户、用户组或系统进程。
  • 客体：被访问的资源，如文件、数据库、系统设备等。
  • 控制策略：决定哪些主体可以如何访问哪些客体的规则集合。
• 访问控制矩阵（ACM）：一个表格，用于描述系统中的访问控制策略，行代表主体，列代表客体，单元格中的内容表示该主体对该客体的访问权限。
• 访问控制列表（ACL）：针对每个客体，列出有权限访问该客体的主体及其权限。它是ACM的一种存储实现方式。
• 能力表：针对每个主体，列出该主体能够访问的所有客体及其权限。这也是一种ACM的存储实现方式，但是以主体为中心。
• 授权关系表：用于记录哪些主体被授权可以执行哪些操作，这通常是在更细粒度的控制级别上实现的。

下面是一些简单的表格，帮助理解上述概念：

访问控制矩阵示例

访问控制列表（ACL）示例 - 文件A

能力表示例 - 用户X

二、AI 出题

（1）题目

1. 访问控制技术的主要目的是什么？ A. 提高系统性能 B. 保护系统资源不被未授权访问 C. 简化用户操作 D. 提高系统存储容量
2. 在访问控制中，什么是“主体”？ A. 被访问的资源 B. 请求访问资源的实体 C. 访问权限 D. 控制策略
3. 以下哪项不属于访问控制三要素？ A. 主体 B. 客体 C. 控制策略 D. 网络带宽
4. 访问控制矩阵的行代表什么？ A. 权限 B. 控制策略 C. 主体 D. 客体
5. 访问控制列表（ACL）的特点是什么？ A. 以客体为中心 B. 以主体为中心 C. 以权限为中心 D. 以上都不是
6. 能力表的特点是什么？ A. 以客体为中心 B. 以主体为中心 C. 以权限为中心 D. 以上都不是
7. 如果一个用户对一个文件有“读/写”的权限，这种信息最可能在哪里被记录？ A. 访问控制矩阵 B. 网络配置文件 C. 用户配置文件 D. 系统日志文件
8. 访问控制策略决定了什么？ A. 哪些主体可以访问系统 B. 哪些主体可以如何访问哪些客体 C. 系统的存储容量 D. 网络的带宽
9. 授权关系表用于记录什么？ A. 哪些客体可以被访问 B. 系统的所有用户 C. 哪些主体被授权可以执行哪些操作 D. 系统的所有文件
10. 与ACL相比，能力表的不同之处在于什么？ A. 更加安全 B. 以主体为中心 C. 以客体为中心 D. 更加易于管理

（2）答案和解析

1. 答案：B。详细解析：访问控制技术的主要目的是保护系统资源不被未授权的访问，以确保信息安全。
2. 答案：B。详细解析：在访问控制中，“主体”是指请求访问资源的实体，如用户或程序。
3. 答案：D。详细解析：访问控制的三要素包括主体、客体和控制策略，而网络带宽不属于这三要素。
4. 答案：C。详细解析：在访问控制矩阵中，行代表主体，列代表客体。
5. 答案：A。详细解析：访问控制列表（ACL）是以客体为中心，列出有权限访问该客体的主体及其权限。
6. 答案：B。详细解析：能力表是以主体为中心，列出该主体能够访问的所有客体及其权限。
7. 答案：A。详细解析：用户对文件的权限，如“读/写”，通常在访问控制矩阵中被记录。
8. 答案：B。详细解析：访问控制策略决定了哪些主体可以如何访问哪些客体，是访问控制的核心规则。
9. 答案：C。详细解析：授权关系表用于记录哪些主体被授权可以执行哪些操作，关注的是授权的细节。
10. 答案：B。详细解析：与访问控制列表（ACL）相比，能力表的不同之处在于它是以主体为中心，列出主体能够访问的客体及其权限。

三、真题