随着分布式技术和网络技术的不断发展,计算机安全的形势也变得日益严峻。在进行信息共享和资源访问的同时,必须兼顾到系统的安全性,而访问控制正是一种通过约束用户访问行为而达到对敏感信息进行隔离目的的安全服务机制。访问控制是通过适当的访问权限管理来实现系统的信息和资源保护,防止用户对系统信息的不恰当和非法访问。访问控制研究不仅在理论上可以借助形式化方法描述系统元素、精确表达安全策略、进行系统安全证明,而且在应用中,能够直接影响系统的可用性、易用性和安全性。因此,访问控制模型与技术的研究不仅具有重要理论价值,而且具有广泛的应用价值。委托授权是访问控制的一种重要机制。委托授权是指系统中的主体将权限委托给其他主体,使得权限的接收者可以根据前者的要求执行一些工作,从而提高授权管理的灵活性,应对异常情况。在现有的分布式系统中,经常会出现一个用户需要代表另一个用户去执行他拥有的某一项权利,因此委托授权的研究具有重要的应用环境。目前关于委托授权模型的研究主要是在基于角色的基础上,但是这些模型并不完善,例如在委托授权的安全约束、如何在复杂角色层次上进行委托授权等都没有进行详细的论述,而安全约束和角色层次是保护系统信息安全和防范错误失误的一项基本技术手段,因此在大型的分布式系统中是需要一种更强大的机制来提供有效的权限委托授权和撤销管理。本文详细分析了访问控制中委托授权机制,针对基于角色的访问控制模型与安全约束、复杂角色层次与安全约束一致性等关键问题,展开深入研究。本文主要工作和创新点如下:1.提出了一个基于规则的委托授权模型。该模型综合考虑了各种基本的安全需求和业务需求,通过多种安全约束规则,实施对委托授权的限制,从而确保在支持授权灵活性的同时,确保授权安全性。并将基于规则的委托授权模型与现有的委托模型进行了比较。2.提出了委托授权算法,解决了委托授权模型中的复杂角色层次的委托授权问题。本文在角色层次的基础上定义了角色级别、角色域等概念,并对角色层次内不同级别的角色之间的委托授权进行了讨论,应用具体的实例对算法进行分析。3.在实施委托授权机制的同时,必然会加入一些约束规则,这些约束规则的引入可能会和原有的规则发生冲突。因此本文讨论了各种安全策略和安全约束之间的一致性问题,通过约束冲突检测和策略调整与融合,消除冲突,实现一致性授权。4.结合医院系统的应用特点,提出了委托授权模型的应用框架,对框架内的各模块进行了功能分析和过程描述,并对约束规则进行了详细的描述。