1.功能級訪問控制模型

RB-ERBAC模型基本思想是基于企業定義的規則集合動態的為用戶分配角色，從而起到權限管理的目的，同時這些規則需要考慮用戶的屬性和企業安全約束規則的限制。使用規則引擎來管理規則庫與事實庫之間的匹配工作，與傳統的RBAC進行顯示的用戶——角色指派相比，RB- ERBAC模型是一種基于規則方式的隱式用戶一角色指派授權。模型中主要的組件如下圖所示。

RB-ERBAC模型中，通過利用規則的形式來反映企業安全約束策略，規則庫中的規則定義為用于輸入條件的屬性表達式( AE)和用于輸出結果的若干角色。屬性表達是一個由若干屬性值所組成的具有命題邏輯的公式，它反映了用戶主體必須滿足什么樣的屬性組合后才禽旨被分配規則右部擁有相應權限的角色。用戶和用戶屬性值之間是一種多對多的對應關系，屬性值和屬性表達式之間也是一種多對多的對應關系，根據用戶擁有的屬性信息，可能會滿足多個屬性表達式的值，不同用戶主體之間也有可能出現滿足同一表達式的情況。屬性表達式可以對應于多個角色，而某一角色也可以對應若干個屬性表達式，因此屬性表達式和角色之間也同樣是一種多對多的關系。