1.功能級(jí)訪問控制模型

RB-ERBAC模型基本思想是基于企業(yè)定義的規(guī)則集合動(dòng)態(tài)的為用戶分配角色，從而起到權(quán)限管理的目的，同時(shí)這些規(guī)則需要考慮用戶的屬性和企業(yè)安全約束規(guī)則的限制。使用規(guī)則引擎來管理規(guī)則庫與事實(shí)庫之間的匹配工作，與傳統(tǒng)的RBAC進(jìn)行顯示的用戶——角色指派相比，RB- ERBAC模型是一種基于規(guī)則方式的隱式用戶一角色指派授權(quán)。模型中主要的組件如下圖所示。

RB-ERBAC模型中，通過利用規(guī)則的形式來反映企業(yè)安全約束策略，規(guī)則庫中的規(guī)則定義為用于輸入條件的屬性表達(dá)式( AE)和用于輸出結(jié)果的若干角色。屬性表達(dá)是一個(gè)由若干屬性值所組成的具有命題邏輯的公式，它反映了用戶主體必須滿足什么樣的屬性組合后才禽旨被分配規(guī)則右部擁有相應(yīng)權(quán)限的角色。用戶和用戶屬性值之間是一種多對(duì)多的對(duì)應(yīng)關(guān)系，屬性值和屬性表達(dá)式之間也是一種多對(duì)多的對(duì)應(yīng)關(guān)系，根據(jù)用戶擁有的屬性信息，可能會(huì)滿足多個(gè)屬性表達(dá)式的值，不同用戶主體之間也有可能出現(xiàn)滿足同一表達(dá)式的情況。屬性表達(dá)式可以對(duì)應(yīng)于多個(gè)角色，而某一角色也可以對(duì)應(yīng)若干個(gè)屬性表達(dá)式，因此屬性表達(dá)式和角色之間也同樣是一種多對(duì)多的關(guān)系。