主體接收客體相關(guān)信息和數(shù)據(jù)，也可能改變客體相關(guān)信息。一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以獨(dú)立運(yùn)行，并由父主體控制它們。客體始終是提供、駐留信息或數(shù)據(jù)的實(shí)體。主體和客體的關(guān)系是相對(duì)的，角色可以互換。

訪問權(quán)限是指主體對(duì)客體所執(zhí)行的操作。文件是系統(tǒng)支持的最基本的保護(hù)客體。常見文件訪問模式有：

◇讀：允許主體對(duì)客體進(jìn)行讀訪問操作；

◇寫：允許主體對(duì)客體進(jìn)行修改，包括擴(kuò)展、收縮及刪除；

◇執(zhí)行：允許主體j降客體作為一種可運(yùn)行文件而運(yùn)行；

◇拒絕訪問：主體對(duì)客體不具有任何訪問權(quán)。

此外，目錄也是常見的保護(hù)客體。目錄常作為結(jié)構(gòu)化文件或結(jié)構(gòu)化段來實(shí)現(xiàn)。對(duì)目錄的訪問模式可以分為讀和寫。

讀：允許主體看到目錄實(shí)體，包括目錄名、訪問控制表以及該目錄下的文件與目錄的相應(yīng)信息。

寫：允許主體在該目錄下增加一個(gè)新的客體。也就是說，允許主體在該目錄下生成與刪除文件或予目錄。

訪問控制的實(shí)施一般包括兩個(gè)步驟：第一步鑒別主體的合法身份；第二步根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)。訪問控制過程如下圖所示。首先主體向訪問控制實(shí)施部件提交訪問請(qǐng)求，收到主體的訪問請(qǐng)求后，訪問控制實(shí)施部件將該請(qǐng)求提交給訪問控制決策部件，訪問控制決策部件依據(jù)請(qǐng)求中的主體、客體和訪問權(quán)判斷是否允許授權(quán)。如果依據(jù)當(dāng)前訪問控制規(guī)則，允許該授權(quán)，則將決策結(jié)果返回訪問控制實(shí)施部件，訪問控制實(shí)施部件向客體提出訪問請(qǐng)求，主體執(zhí)行對(duì)客體的授權(quán)訪問。如果拒絕該授權(quán)，則訪問控制實(shí)施部件拒絕主體提交的訪問請(qǐng)求，主體不執(zhí)行對(duì)請(qǐng)求客體的操作。