1、“訪問控制”是一種保護資源免遭未授權訪問的安全機制。目前最流行的基于角色的訪問控制模型(RBAC)是繼自主訪問控制(DAC)和強制訪問控制(MAC)之后出現(xiàn)的訪問控制模型。在RBAC中，用戶與權限的分離極大地簡化了權限管理，與傳統(tǒng)的訪問控制模型相比，RBAC是一個策略中性的模型，可通過配置實現(xiàn)強制訪問和自主訪問控制；同時，RBAC具有應用無關的良好特性。正是由于RBAC的上述特點，因此在理論和實踐中受到了越來越多的重視。 盡管R

2、BAC是現(xiàn)在應用最為廣泛的訪問控制標準，但是當系統(tǒng)變得特別龐大(包含數(shù)以百計的角色)，尤其是當運行多個應用系統(tǒng)時，信息量成倍增加，再加上企業(yè)組織結構、人力資源的頻繁變動，導致權限管理工作復雜繁瑣。因此，在保證系統(tǒng)安全的前提下，簡化各個系統(tǒng)的權限管理工作，具有重要的現(xiàn)實意義。 本文針對一個企業(yè)中多系統(tǒng)訪問控制管理困難問題，借鑒了Composite RBAC模型的思想，提出了一個擴展的RBAC模型-ERBAC(extended ro

3、le based access control)。該模型把應用系統(tǒng)分為“組織結構層次”和“系統(tǒng)層次”；與Composite RBAC模型不同的是，本文通過在“組織結構層次”中引入崗位、組織這2個元素，使“組織結構層次”對現(xiàn)實組織機構進行映射；而“系統(tǒng)層次”只對各個應用子系統(tǒng)的角色和權限進行管理。這樣既降低了開發(fā)的難度和工作量又便于系統(tǒng)的維護。當企業(yè)的組織層次結構發(fā)生變動的時候，只需要對“組織結構層次”中的元素進行相關調整即可適應變化；當