1)基于角色的訪問控制模型的構(gòu)成

迄今為止，已經(jīng)討論和發(fā)展了四種基于角色的訪問控制模型，下圖給出了它們之間的相互關(guān)系。RBACO是基本模型，規(guī)定了所有RBAC系統(tǒng)所必須的最小需求。RBAC1在RBACO 的基礎(chǔ)上增加了角色等級的概念。RBAC2則在RBACO的基礎(chǔ)上增加了約束。RBAC3包含了RBAC1和RBAC2，也間接包含了RBACO。

RBACO

RBACO由四個(gè)基本要素構(gòu)成，即用戶(U)、角色(R)、會話(S)和權(quán)限(P)。用戶為系統(tǒng)的使用者；角色是根據(jù)系統(tǒng)不同工作崗位需求而設(shè)置的；權(quán)限是系統(tǒng)中所有訪問權(quán)限的集合；會話是系統(tǒng)對用戶一次請求的執(zhí)行，每個(gè)會話由一個(gè)用戶建立。

在RBACO中，用戶與角色、角色與許可均為多對多的關(guān)系，用戶對權(quán)限的執(zhí)行必須通過角色來關(guān)聯(lián)，以實(shí)現(xiàn)對信息資源訪問的控制。用戶與會話是一對多的關(guān)系，會話是一個(gè)用戶對多個(gè)角色的映射，即一個(gè)用戶激活某個(gè)角色子集。此時(shí)，用戶的權(quán)限為激活的多個(gè)角色權(quán)限的并集。一個(gè)用戶可以同時(shí)擁有多個(gè)會話，每個(gè)會話又具有不同的許可。

RBACO模型定義：

( 1)U表示用戶集，R表示角色集，P表示權(quán)限集，S表示會話集； (2) PA s P×R，是權(quán)限到角色的多對多指派關(guān)系；

(3) UAcUxR，是用戶到角色的多對多指派關(guān)系；

(4) user:S_U，是會話到用戶的映射函數(shù)，表示創(chuàng)建會話的用戶；

(5) roles:S_2R，是會話到角色子集的映射函數(shù)，roles(si)表示會話s；對應(yīng)的角色集合roles(si)∈(rl(user(si),r) ∈UA).；

(6)會話si具有的權(quán)限集P。i=U，，∈，。l。。(。i)(pl (p，r)∈PA).