摘要：传统的RBAC模型基于一套角色不能同时为用户选择功能主体，规范数据操作行为和数据操作对象。为解决此问题，本文提出了X-RBAC模型。该模型通过引入角色组的概念并在其中定义了功能角色组、行为角色组和数据角色组，通过功能角色实现功能主体的过滤，行为角色实现数据操作行为的过滤，数据角色实现数据客体的过滤。在对用户进行授权的同时授予用户功能角色、行为角色和数据角色，以保证授权用户对授权数据执行授权操作。实践表明，X-RBAC模型具有良好的扩展性、适应性和灵活性，适用于数据保密性要求高的复杂信息系统的访问控制。

关键词：访问控制 基于角色的访问控制 角色组 功能角色 行为角色 

单位：国防科技大学信息系统与管理学院 湖南长沙410073