功能级访问控制模型

1.功能级访问控制模型

RB-ERBAC模型基本思想是基于企业定义的规则集合动态的为用户分配角色，从而起到权限管理的目的，同时这些规则需要考虑用户的属性和企业安全约束规则的限制。使用规则引擎来管理规则库与事实库之间的匹配工作，与传统的RBAC进行显示的用户——角色指派相比，RB- ERBAC模型是一种基于规则方式的隐式用户一角色指派授权。模型中主要的组件如下图所示。

RB-ERBAC模型中，通过利用规则的形式来反映企业安全约束策略，规则库中的规则定义为用于输入条件的属性表达式( AE)和用于输出结果的若干角色。属性表达是一个由若干属性值所组成的具有命题逻辑的公式，它反映了用户主体必须满足什么样的属性组合后才禽旨被分配规则右部拥有相应权限的角色。用户和用户属性值之间是一种多对多的对应关系，属性值和属性表达式之间也是一种多对多的对应关系，根据用户拥有的属性信息，可能会满足多个属性表达式的值，不同用户主体之间也有可能出现满足同一表达式的情况。属性表达式可以对应于多个角色，而某一角色也可以对应若干个属性表达式，因此属性表达式和角色之间也同样是一种多对多的关系。