主體接收客體相關信息和數據，也可能改變客體相關信息。一個主體為了完成任務，可以創(chuàng)建另外的主體，這些子主體可以獨立運行，并由父主體控制它們。客體始終是提供、駐留信息或數據的實體。主體和客體的關系是相對的，角色可以互換。

訪問權限是指主體對客體所執(zhí)行的操作。文件是系統(tǒng)支持的最基本的保護客體。常見文件訪問模式有：

◇讀：允許主體對客體進行讀訪問操作；

◇寫：允許主體對客體進行修改，包括擴展、收縮及刪除；

◇執(zhí)行：允許主體j降客體作為一種可運行文件而運行；

◇拒絕訪問：主體對客體不具有任何訪問權。

此外，目錄也是常見的保護客體。目錄常作為結構化文件或結構化段來實現。對目錄的訪問模式可以分為讀和寫。

讀：允許主體看到目錄實體，包括目錄名、訪問控制表以及該目錄下的文件與目錄的相應信息。

寫：允許主體在該目錄下增加一個新的客體。也就是說，允許主體在該目錄下生成與刪除文件或予目錄。

訪問控制的實施一般包括兩個步驟：第一步鑒別主體的合法身份；第二步根據當前系統(tǒng)的訪問控制規(guī)則授予用戶相應的訪問權。訪問控制過程如下圖所示。首先主體向訪問控制實施部件提交訪問請求，收到主體的訪問請求后，訪問控制實施部件將該請求提交給訪問控制決策部件，訪問控制決策部件依據請求中的主體、客體和訪問權判斷是否允許授權。如果依據當前訪問控制規(guī)則，允許該授權，則將決策結果返回訪問控制實施部件，訪問控制實施部件向客體提出訪問請求，主體執(zhí)行對客體的授權訪問。如果拒絕該授權，則訪問控制實施部件拒絕主體提交的訪問請求，主體不執(zhí)行對請求客體的操作。