它们是等级的，就像属、种和个体的等级一样。

• 主题 - 在安全上下文中， 主题 是请求访问 对象 的任何实体。这些是用于表示请求访问的事物和发出请求的事物的通用术语。当您登录应用程序时，您是主体，应用程序是客体。当有人敲门时，访客是请求访问的主体，而您的家是请求访问的对象。
• 主体 -由帐户、角色或其他唯一标识符表示的 主题子集。 当我们达到实现细节的水平时，主体是我们在访问控制列表中使用的唯一键。它们可能代表人类用户、自动化、应用程序、连接等。
• 用户 -通常指人工操作员的 主体子集。 随着时间的推移，这种区别变得越来越模糊，因为“用户”或“用户 ID”这两个词通常与“帐户”互换。但是，当您需要区分作为 主体 的广泛事物类别和以非确定性方式驱动事务的交互式操作符的子集时，“用户”是正确的词。

主题/对象继承自语法中使用的相同术语。在一个句子中，主语是演员，客体是被作用的事物。从这个意义上说，这种用途早在计算机发明之前就已经存在。在安全上下文中，主题是可以发出请求的任何东西。如上所述，这不必局限于
IT 安全，因此是一个非常广泛的分类。有趣的是，主体意味着客体。没有客体，就没有主体。

主体是主体解决的问题。当您出示信用卡时，您是主体，帐号是委托人。在其他情况下，您的用户 ID
或国家颁发的身份证明是您的委托人。但是主体可以与非人的许多类型的主体相关联。当应用程序请求系统级功能时，主体可能是已签名可执行代码模块的签名者，但即使在这种情况下，驱动请求的用户仍然是主体。

用户比主题或主体更具体，因为它通常指的是交互式操作员。这就是为什么我们有一个图形用户界面而不是一个图形主体界面。用户是解析为 主体的 主体
实例。单个用户可以解析为任意数量的主体，但任何主体都应解析为单个用户（假设人们遵守不共享 ID 的要求）。在上面的例子中，一个可执行代码模块的签名者肯定
不是 用户，而是 一个 有效的委托人。试图加载模块的交互式操作员是用户。 __

正如评论中所指出的，即使是权威人士也不同意这些条款。在准备此回复时，我搜索了 NIST、SANS、IEEE、MITER
和几个“准权威”资源，例如安全考试指南。我发现没有一个至少是准权威的单一来源涵盖所有三个术语，并且它们的用法都存在显着差异。这是我对如何使用这些术语的看法，
但从
实际的角度来看，当您在半夜仔细阅读手册时，定义往往是供应商或作者所说的任何内容。希望这里的回复能够提供足够的洞察力来导航水域并使用这些术语解析任何安全文档。