文档介绍：理想流
创建超一流方法论,为培育超一流的软件公司贡献力量
Nt/2000/xp平台下的存储控制模型(Access Control Model)
分类: System Programming 2003-07-19 00:38 821人阅读评论(0) 收藏举报
Nt/2000/xp平台下的存储控制模型(Access Control Model)
By leezy_2000 2003-7-16 15:59
 
(-)
鉴于在nt类操作系统下开发程序时有可能涉及操作注册表,读写文件和操控服务等内容,而为使这类程序在不同帐
户下皆可正确运行就需要了解nt类操作系统的存储控制模型,所以才写这篇文章。这篇文章所涉及大部分内容可在
msdn找到相关说明,小部分内容来自个人经验。错漏之处还望斧正。
 
基本概念及缩写:
 
SID(security identifier):用于唯一标识用户或组的变长结构
 
access token:存储令牌包含每个登录帐户的安全信息。每当用户登录系统时,系统为其建立一个
access token,ess token的一份拷贝。Access token 中包含的内容有
l User SID
l Group SIDs
l Privilege Information
l Other access Information
 
ACE( access control entry) : 包含一系列存储权限及谁拥有这种权限的说明。
 
ACL(access control list):  一个ACE的链表,用于说明某个安全对象可以被谁以什么样的权限进行操作。
 
DACL(discretionary access control list):由安全对象的拥有者(即创建者)控制的ACL。
 
Trustee: a trustee is the user account, group account, or logon session to which an access control
entry (ACE) applies
 
利用这些概念,我们来看一下,对安全对象进行操作要经过那些步骤。(见图1)
 
这个过程是这样,ess Token的trustee同DACL中每一个ACL的trustee相比较直到满足下列某一个条
件:
l ess Token无效。比如Thread A的访问过程。
l ess Token所要求的操作。比如Thread B要求进行Write ,Read or
Execute操作。
l