随着网络和信息技术的飞速发展,信息系统在工矿企业中的应用越来越广泛,系统所具有的开放性和资源的共享性,极大的方便了使用者,大大提高了工矿企业的工作效率和工作质量,但是如何保证对系统资源的合理使用并防止非法用户的使用及破坏,是企业越来越关注的重要问题,访问控制技术就是解决这个问题的有效方法。本文对自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)方法进行了分析和比较,重点对基于角色的访问控制方法及应用进行了详细的研究。本文针对工矿企业信息系统的特点和传统RBAC在当前工矿企业信息系统应用中的不足,对传统RBAC模型进行了改进和扩展,给出了一个适合工矿企业信息系统的访问控制基本模型。该模型与传统RBAC模型相比主要进行了以下的改进:(1)加入了部门实体,可以按部门进行分级授权,避免了传统模型中由一个系统管理员进行集中授权的不足;(2)在角色-权限授权的基础上引入了用户-权限授权方式,可以把一些特殊权限直接指派给用户或者用户把自己的权限临时指派给其他用户,增加了权限分配的灵活性;(3)细化了权限配置的粒度。与传统粗粒度的权限划分不同的是,论文中根据对象的不同把权限分成了功能权限和数据权限,并且把功能权限按一般工矿企业信息系统的功能结构进一步细分,对数据权限配置了数据访问控制规则,可以实现用户的个性化访问,而且还把资源的安全级别分成了一般、秘密、机密三个等级,根据权限安全级别的不同,给出了不同强度的身份认证方法,增强了系统的安全性和权限控制的灵活性;(4)扩展了各种约束,在授权中加入了时间约束,一定程度上实现了角色和权限的自动回收。论文还对所给出的工矿企业信息系统的访问控制基本模型的具体应用问题作了进一步的探讨,给出了用户、角色、权限、授权和约束的划分的具体实现方法。提出了可以从对特权用户权限分散化,按功能或数据的共享级别划分角色,对不同安全级别的权限采用不同的认证方式这些方面来从不同角度提高系统访问控制的安全性和实用性。论文的最后给出了煤炭生产物资保障信息系统中的访问控制的应用实例及应用的效果说明,从实践上进一步证明了本文所给出的访问控制基本模型在工矿企业信息系统中的实用性和可行性。