随着嵌入式技术和Web技术的快速发展,嵌入式Web系统以其方便性、实用性等特点广泛应用于各个领域,越来越多的嵌入式设备可以通过Web进行访问和控制,同时也带来了诸多安全隐患和复杂的资源管理问题。本文主要研究嵌入式Web系统中的安全性问题。本文以一个实际的嵌入式Web系统为研究背景,分析了嵌入式Web系统面临的主要安全威胁以及相应的防御措施,设计访问前、访问中和访问后三个阶段中嵌入式Web系统的访问控制模型。综合考虑安全、成本、实现难度等各方面的因素,设计了基于IP地址和用户口令的人机交互类身份验证机制来提高访问前的安全性,并根据不同的安全需求划分为宽松型、严格性和单用户型的访问模式。通过对几种传统访问控制模型的对比分析,在基于角色的访问控制模型基础上,添加基于Cookie和会话的报文传递类身份验证机制,并将访问控制粒度从页面访问细化为服务调用,同时引入了角色继承、委托授权等一些控制机制,在提高访问控制安全性的同时增加授权的灵活性,降低其复杂度。使用操作日志记录用户的访问过程,实现访问后对用户操作行为的安全管理。本文实现了这些访问控制模型,并且提供了功能服务调用接口。测试结果表明该模型的各个功能模块均能正确、高效、稳定的工作。