2)基于角色的訪問控制模型分析

在基于角色的訪問控制中，將若干特定的用戶的集合和某種授權連結在一起，即與某種業務分工，例如崗位、工種等相關聯的授權連結在一起。這樣的授權管理比對個體的授權來說。可操作性和可管理性都要強得多。因為角色的變動遠遠低于個體的變動，因此該模型的一個主要優點就是簡單。

使用RBAC可以較好地支持最小特權原則，使得分配給角色的權限不超過具有該角色身份的用戶完成其任務所必須的權限，當用戶請求訪問某資源時，如果其操作權限不在用戶當前被激活角色的授權范圍內，訪問請求將被拒絕。RBAC還能實施職責分離原則，即利用互斥角色約束，控制用戶的權限，通過激活相互制約的角色共同完成一些敏感任務，以減少完成任務過程中可能發生的欺詐行為。

此外，該模型在不同的系統配置下可以顯示不同的安全控制功能，既可以構造具備自主存取控制類型的系統，也可以構造成為強制存取控制類型的系統，甚至可以構造同時兼備這兩種存取控制類型的系統。

美國國家標準技術研究所(MST)對28個組織進行的調查結果表明，基于角色的訪問控制的功能相當強大，能滿足許多類型用戶的需求，從政府機構到商業應用。同時，它也非常適用于數據庫系統，因為在這類系統中角色的邏輯意義更為明顯和直接。