Question

Authentication： 认证，关注用户是谁。包括消息认证和身份认证。要验证其真实性。

Authorization：英 [ˌɔ:θəraɪˈzeɪʃn]，美 [ˌɔ:θərəˈzeɪʃn]， 授权，关注用户能做什么。不需要注册，授权使用用户信息访问某项服务。

访问控制技术是一个安全信息系统不可或缺的安全措施，对保护数字资源的安全有着重要意义。访问控制技术起源于 20 世纪 70 年代，当时是为了满足管理 大型主机系统上共享数据授权访问的需要；基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证 为前提，在此基础上实施各种访问策略来控制和规范合法用户在系统中的行为。

权限控制的中心是对访问数据的控制。访问控制（也称存取控制）的目的是根据需要批准或禁止用户访问数字资源，确保用户对数据只能进行经过授权的有关操作；使每个用户都能方便地访问其在工作中所需要的数据（根据其责任和资格），同时屏蔽不允许他们访问的数据。

在访问控制机制中，一般把被访问的资源称为 客体 ，把以用户名义进行资源访问的进程、事务等实体称为 主体 。因此访问控制的基本目标就是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户权益的程序能做什么。

目前，访问控制机制理论有四种：

• 自主访问控制（Discretionary Access Control，DAC）：通过访问控制列表（ACL：Access Control List）来实现，如防火墙机制 iptables.
• 强制访问控制（Mandatory Access Control，MAC）：
• 基于角色的访问控制 （Role-based Access Control，RBAC）
• 使用控制（Usage Control，UCON）。