以角色為基礎的存取控制

以角色為基礎的存取控制^[1][2]（英語：Role-based access control，RBAC），是資訊安全領域中，一種較新且廣為使用的存取控制機制，其不同於強制存取控制以及自由選定存取控制^[3]直接賦予使用者權限，而是將權限賦予角色。1996年，萊威·桑度（Ravi Sandhu）等人在前人的理論基礎上，提出以角色為基礎的存取控制模型，故該模型又被稱為RBAC96。之後，美國國家標準局重新定義了以角色為基礎的存取控制模型，並將之納為一種標準，稱之為NIST RBAC。

以角色為基礎的存取控制模型是一套較強制存取控制以及自由選定存取控制更為中性且更具靈活性的存取控制技術。

定義

在一个组织中，会因为不同的作业功能产生不同的角色，执行某项操作的权限会被赋予特定的角色。组织成员或者工作人员（抑或其它系统用户）则被赋予不同的角色，这些用户通过被赋予角色来取得执行某项计算机系统功能的权限。

• S = 主體 = 一名使用者或自動代理人
• R = 角色 = 被定義為一個授權等級的工作職位或職稱
• P = 權限 = 一種存取資源的方式
• SE = 會期 = S，R或P之間的映射關係
• SA = 主體指派
• PA = 權限指派
• RH = 角色階層。能被表示為：≥（x ≥ y 代表 x 繼承 y 的權限）
• 一個主體可對應多個角色。
• 一個角色可對應多個主體。
• 一個角色可擁有多個權限。
• 一種權限可被分配給許多個角色。
• 一个角色可以有专属于自己的权限。

所以，用集合论的符号：

• ${\displaystyle PA\subseteq P\times R}$ 是一个多对多的权限分配方式。
• ${\displaystyle SA\subseteq S\times R}$ 是一个多对多的主体指派方式。
• ${\displaystyle RH\subseteq R\times R}$

另見

• 美國國家標準技術研究所定義以角色為基礎的存取控制（英语：NIST RBAC model）
• AGDLP：微軟建議的RBAC實現方式

參考文獻

1. Ferraiolo, D.F. and Kuhn, D.R. Role Based Access Control (PDF). 15th National Computer Security Conference: 554–563. October 1992 [2009-07-23]. （原始内容 (PDF)存档于2011-06-05）.
2. Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. Role-Based Access Control Models (PDF). IEEE Computer (IEEE Press). August 1996, 29 (2): 38–47 [2009-07-23]. （原始内容 (PDF)存档于2011-06-05）.
3. 國家教育研究院雙語詞彙、學術名詞暨辭書資訊網. [2013-06-17]. （原始内容存档于2013-06-17）.

外部連結

• 美國國家標準局所載之以角色為基礎的存取控制（页面存档备份，存于互联网档案馆） - 美國政府網站關於以角色為基礎的存取控制的理論與實務資訊
• 以角色為基礎的存取控制模型的問與答（页面存档备份，存于互联网档案馆）