随着电子信息系统的规模日益庞大和数字图书馆环境的不断出现，信息安全问题变得越来越重要，而访问控制是信息安全中的重要一环。不同于传统的数据库环境，数字图书馆或大型的电子信息系统以接受庞大数量的动态访问者为主要特征，因此，本文提出了一种基于约束规则的访问控制(Constraint-Based Access Control-CBAC)模型，使得访问控制策略建立在用户资格条件和用户属性特征之上，而不仅仅是基于单纯的用户身份认证。 文章首先回顾了在当前研究领域中成熟的访问控制实现方法(矩阵、列表及能力)和访问控制模型(自主访问控制、强制访问控制及基于角色的访问控制)。在此基础上，针对当前应用环境所具有的主要特点和访问权限管理中的动态变化需求提出了一种基于约束规则的访问控制模型(CBAC)。文章介绍了CBAC模型的基本组成框架，提出了一种用于描述CBAC模型安全策略的形式化语言，制定了一种用于统一描述CBAC模型用户属性约束条件和时间约束条件的文法规范，给出了CBAC模型的实现方案和实现的具体算法。 CBAC模型在传统的访问控制模型的基础上，引入了一种建立在“组”概念之上的带有属性约束条件描述的“用户身份模板”作为新的授权主体，提出了用户身份模板、信息对象和访问权限的层次结构，以及授权在层次结构上的传播规则。同时，用户属性条件的描述提供了对同一用户身份模板所属用户更为灵活的描述和约束限制。CBAC模型中的授权管理由静态授权和动态授权两部分组成。其中静态授权类似于集中式权限管理；动态授权类似于一种受限制的分权式权限管理，包括肯定授权的委托管理和否定授权的阻塞管理，并带有时间约束条件。具有时间约束描述的动态授权的引入使得访问控制中的安全策略更具灵活性，能够满足权限管理中的部分动态变化需求。 文章还介绍了CBAC模型的具体实现过程，并以校园图书馆信息系统作为其应用背景，给出了CBAC模型的一个应用实例，采用Java和Oracle对模型进行了具体实现。 最后文章对CBAC模型进行了总结与展望。