基于角色的访问控制

以角色为基础的访问控制^[1][2]（英语：Role-based access control，RBAC），是资讯安全领域中，一种较新且广为使用的访问控制机制，其不同于强制访问控制以及自由选定访问控制^[3]直接赋予用户权限，而是将权限赋予角色。1996年，莱威·桑度（Ravi Sandhu）等人在前人的理论基础上，提出以角色为基础的访问控制模型，故该模型又被称为RBAC96。之后，美国国家标准局重新定义了以角色为基础的访问控制模型，并将之纳为一种标准，称之为NIST RBAC。

以角色为基础的访问控制模型是一套较强制访问控制以及自由选定访问控制更为中性且更具灵活性的访问控制技术。

定义

在一个组织中，会因为不同的作业功能产生不同的角色，执行某项操作的权限会被赋予特定的角色。组织成员或者工作人员（抑或其它系统用户）则被赋予不同的角色，这些用户通过被赋予角色来获取执行某项电脑系统功能的权限。

• S = 主体 = 一名用户或自动代理人
• R = 角色 = 被定义为一个授权等级的工作职位或职称
• P = 权限 = 一种存取资源的方式
• SE = 会期 = S，R或P之间的映射关系
• SA = 主体指派
• PA = 权限指派
• RH = 角色层次结构。能被表示为：≥（x ≥ y 代表 x 继承 y 的权限）
• 一个主体可对应多个角色。
• 一个角色可对应多个主体。
• 一个角色可拥有多个权限。
• 一种权限可被分配给许多个角色。
• 一个角色可以有专属于自己的权限。

所以，用集合论的符号：

• ${\displaystyle PA\subseteq P\times R}$  是一个多对多的权限分配方式。
• ${\displaystyle SA\subseteq S\times R}$  是一个多对多的主体指派方式。
• ${\displaystyle RH\subseteq R\times R}$ 

另见

• 美国国家标准技术研究所定义以角色为基础的访问控制（英语：NIST RBAC model）
• AGDLP：微软建议的RBAC实现方式

参考文献

1. Ferraiolo, D.F. and Kuhn, D.R. Role Based Access Control (PDF). 15th National Computer Security Conference: 554–563. October 1992 [2009-07-23]. （原始内容 (PDF)存档于2011-06-05）. 
2. Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. Role-Based Access Control Models (PDF). IEEE Computer (IEEE Press). August 1996, 29 (2): 38–47 [2009-07-23]. （原始内容 (PDF)存档于2011-06-05）. 
3. 國家教育研究院雙語詞彙、學術名詞暨辭書資訊網. [2013-06-17]. （原始内容存档于2013-06-17）. 

外部链接

• 美国国家标准局所载之以角色为基础的访问控制（页面存档备份，存于互联网档案馆） - 美国政府网站关于以角色为基础的访问控制的理论与实务资讯
• 以角色为基础的访问控制模型的问与答（页面存档备份，存于互联网档案馆）