訪問控制是很多網站或者app都會應用到的，可能大家都不是非常了解這種技術，其實我們生活中經常使用到訪問控制的相關操作，不管你是用手機還是電腦，你在瀏覽網上或者發信息都是會用到訪問控制，只是方式有很多，我們都不清楚網站或者app背后的程序是怎么樣運行的而已，目前但凡與網絡相連的東西都是會使用到訪問控制，因為這種技術是網站和app組成的關鍵技術。

  訪問控制

  訪問控制是給出一套方法，將系統中的所有功能標識出來，組織起來，托管起來，將所有的數據組織起來標識出來托管起來， 然后提供一個簡單的唯一的接口，這個接口的一端是應用系統一端是權限引擎。權限引擎所回答的只是：誰是否對某資源具有實施 某個動作（運動、計算）的權限。返回的結果只有：有、沒有、權限引擎異常了。

  訪問控制是幾乎所有系統（包括計算機系統和非計算機系統）都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術，如UniNAC網絡準入控制系統的原理就是基于此技術之上。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。

  訪問控制包括三個要素：主體、客體和控制策略

  （1）主體S（Subject）。是指提出訪問資源具體請求。是某一操作動作的發起者，但不一定是動作的執行者，可能是某一用戶，也可以是用戶啟動的進程、服務和設備等。

  （2）客體O（Object）。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體，也可以是網絡上硬件設施、無限通信中的終端，甚至可以包含另外一個客體。

  （3）控制策略A（Attribution）。是主體對客體的相關訪問規則集合，即屬性集合。訪問策略體現了一種授權行為，也是客體對主體某些操作行為的默認。

  訪問控制的功能及原理

  訪問控制的主要功能包括：保證合法用戶訪問受權保護的網絡資源，防止非法的主體進入受保護的網絡資源，或防止合法用戶對受保護的網絡資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問權限驗證之后，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略實現和安全審計。

  （1）認證。包括主體對客體的識別及客體對主體的檢驗確認。

  （2）控制策略。通過合理地設定控制規則集合，確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用，又要防止非法用戶侵權進入系統，使重要信息資源泄露。同時對合法用戶，也不能越權行使權限以外的功能及訪問范圍。

  （3）安全審計。系統可以自動根據用戶的訪問權限，對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證，并做出相應評價與審計。

  訪問控制應用場景

  企業內子用戶權限管理：企業內不同職能部門的員工對該企業所屬的新網資源的訪問權限不同，需為其分配最小的訪問權限。

  場景：企業A在新網內購買了多種云資源，如云主機，云硬盤，云數據庫等。由企業內的員工根據職能不同來分別管理這些資源。比如研發人員，測試人員，運維人員，財務人員等，研發人員，測試人員可能需要分配的是不同的云主機，云硬盤和云數據庫的使用權限。運維人員可能需要分配的是主機重啟，停機，數據庫備份等權限。財務人員可能需要的是賬單的管理權限和支付權限等。企業A的主賬號擁有者，也就是管理員，可以隨時根據人員變動，變更或收回新網訪問權限。

  不同企業間的權限管理：不同企業間對資源和云服務的授權管理。

  場景：企業A和企業B，企業A在某平臺上購買了多種資源來開展企業業務，但是企業A希望能夠專注于業務的發展，而將某平臺資源的運維和監控交予企業B來完成。企業B可以通過把企業A資源的管理進一步授權給企業B內的員工。如果企業A和企業B的代運維管理合同終止，企業A可隨時撤銷對企業B的授權。

  訪問控制的運用也是非常廣的，可能我們平時不了解這些技術，但是我們生活中無時無刻都在使用它，手機、電腦、智能家居等等的產品都是會有訪問控制程序的，可能原理大家不是很清楚，但是對它有了解也是能夠增長我們的知識的，如果你想了解更多，可以關注一下新網這個網站。