1)基于角色的訪問控制模型的構成

迄今為止，已經討論和發展了四種基于角色的訪問控制模型，下圖給出了它們之間的相互關系。RBACO是基本模型，規定了所有RBAC系統所必須的最小需求。RBAC1在RBACO 的基礎上增加了角色等級的概念。RBAC2則在RBACO的基礎上增加了約束。RBAC3包含了RBAC1和RBAC2，也間接包含了RBACO。

RBACO

RBACO由四個基本要素構成，即用戶(U)、角色(R)、會話(S)和權限(P)。用戶為系統的使用者；角色是根據系統不同工作崗位需求而設置的；權限是系統中所有訪問權限的集合；會話是系統對用戶一次請求的執行，每個會話由一個用戶建立。

在RBACO中，用戶與角色、角色與許可均為多對多的關系，用戶對權限的執行必須通過角色來關聯，以實現對信息資源訪問的控制。用戶與會話是一對多的關系，會話是一個用戶對多個角色的映射，即一個用戶激活某個角色子集。此時，用戶的權限為激活的多個角色權限的并集。一個用戶可以同時擁有多個會話，每個會話又具有不同的許可。

RBACO模型定義：

( 1)U表示用戶集，R表示角色集，P表示權限集，S表示會話集； (2) PA s P×R，是權限到角色的多對多指派關系；

(3) UAcUxR，是用戶到角色的多對多指派關系；

(4) user:S_U，是會話到用戶的映射函數，表示創建會話的用戶；

(5) roles:S_2R，是會話到角色子集的映射函數，roles(si)表示會話s；對應的角色集合roles(si)∈(rl(user(si),r) ∈UA).；

(6)會話si具有的權限集P。i=U，，∈，。l。。(。i)(pl (p，r)∈PA).