1.功能級(jí)訪(fǎng)問(wèn)控制模型

RB-ERBAC模型基本思想是基于企業(yè)定義的規(guī)則集合動(dòng)態(tài)的為用戶(hù)分配角色，從而起到權(quán)限管理的目的，同時(shí)這些規(guī)則需要考慮用戶(hù)的屬性和企業(yè)安全約束規(guī)則的限制。使用規(guī)則引擎來(lái)管理規(guī)則庫(kù)與事實(shí)庫(kù)之間的匹配工作，與傳統(tǒng)的RBAC進(jìn)行顯示的用戶(hù)——角色指派相比，RB- ERBAC模型是一種基于規(guī)則方式的隱式用戶(hù)一角色指派授權(quán)。模型中主要的組件如下圖所示。

RB-ERBAC模型中，通過(guò)利用規(guī)則的形式來(lái)反映企業(yè)安全約束策略，規(guī)則庫(kù)中的規(guī)則定義為用于輸入條件的屬性表達(dá)式( AE)和用于輸出結(jié)果的若干角色。屬性表達(dá)是一個(gè)由若干屬性值所組成的具有命題邏輯的公式，它反映了用戶(hù)主體必須滿(mǎn)足什么樣的屬性組合后才禽旨被分配規(guī)則右部擁有相應(yīng)權(quán)限的角色。用戶(hù)和用戶(hù)屬性值之間是一種多對(duì)多的對(duì)應(yīng)關(guān)系，屬性值和屬性表達(dá)式之間也是一種多對(duì)多的對(duì)應(yīng)關(guān)系，根據(jù)用戶(hù)擁有的屬性信息，可能會(huì)滿(mǎn)足多個(gè)屬性表達(dá)式的值，不同用戶(hù)主體之間也有可能出現(xiàn)滿(mǎn)足同一表達(dá)式的情況。屬性表達(dá)式可以對(duì)應(yīng)于多個(gè)角色，而某一角色也可以對(duì)應(yīng)若干個(gè)屬性表達(dá)式，因此屬性表達(dá)式和角色之間也同樣是一種多對(duì)多的關(guān)系。