随着企业应用集成EAI(Enterprise Application Integrator)越来越受到人们的关注,企业资源统一访问控制正在成为当前访问控制研究领域的热点之一。由于传统的访问控制方法已难以满足日益复杂的企业应用需求,而基于角色的访问控制方法则能减轻授权管理的负担,并且可提供与企业组织架构相一致的安全策略,因而开始成为解决大型企业统一资源管理的主要解决方案。在深入分析基于角色访问控制RBAC96(Role-Based Access Control96)模型与基于角色访问控制管理ARBAC97(Administrative Role-Based Access Control97)模型的基础上,针对EAI环境中的企业信息化应用特征,同时结合企业的行政管理模式,给出了一种适应于EAI应用环境的RBAC实现模型ERBAC(Enterprise Application Integrator -RBAC)。针对如何将授权管理的控制权交给对用户的职务需求最了解、对信息的使用最熟悉、最有资格判断谁需要信息的管理者,讨论了ERBAC实现模型中以组织机构为管理域的分布式管理模式。给出了ERBAC模型的用户管理模型、角色管理模型以及多级权限管理模型。这种授权管理模型,不但简化了ARBAC97模型的实现难度,消除了在用户-角色分配URA97(User-Role Assignment97)模型与权限-角色分配PRA97(Permission-Role Assignment97)模型中角色集与用户集依赖于角色层次所带来的不足,而且也符合企业的行政管理模式,与企业的安全管理策略相容。ERBAC模型的实现主要包括系统组件、数据库和人机界面三部分。系统组件由授权管理系统、身份认证服务器和访问控制服务器三大部分组成。授权管理系统采用分布式体系结构,由客户端管理控制台和服务器端授权服务器组成。身份认证服务器提供口令认证和数字证书认证两种方式。访问控制服务器的主要功能是向应用系统提供面向用户主体的访问控制规则文件,它的本质是一个规则文件库。ERBAC实现模型不仅保留了RBAC模型的主要特征,而且能满足EAI环境的实际应用需求,较好地实现了企业环境中的统一资源管理。