随着Internet及其相关技术的发展,越来越多的企业通过网络向客户提供服务,因此访问控制技术成为网络安全领域一个非常重要的研究对象。传统的自主访问控制(DAC)和强制访问控制(MAC)由于使用的局限性,已经不能满足现代应用系统对安全性的要求。基于角色的访问控制(RBAC)模型在用户与权限之间增加了角色的概念,去除了用户与资源之间关系的耦合性,使得系统在访问策略和权限管理方面具有更强的灵活性,因此在权限管理中得到的很大的发展和应用。然而随着网络应用系统信息量和用户数的不断增大,由于角色既要体现企业运行的逻辑结构又要反映系统的安全策略,使得角色的分配和维护工作将变得越来越繁琐,这些因素都将增加角色授权的复杂性和系统由于管理人员的人为因素造成的潜在不安全性。同时由于传统基于角色的访问控制适用于封闭的应用环境,而对外部人员的使用没有提供很好的授权机制,因此这种静态手工的权限分配方式,将导致企业管理成本的增加。本文先从功能级权限管理方面给出了一种基于规则的为用户动态分配角色的企业权限分配模型RB-ERBAC(Rule-based Enterprise RBAC), RB-ERBAC模型不仅具有传统RBAC的优点,同时通过加入规则实现了企业安全策略的灵活动态调整,使得在用户属性值发生改变的情况下,由系统自动通过企业的授权规则隐式地完成了用户到角色的分配和修改工作,保证了用户角色随用户属性值改变后的及时更新。这样使得系统管理员的部分工作可以由事先定义好的业务规则来自动完成,从而降低了系统的安全风险。此外,本文还从数据级权限管理方面直接使用规则引擎技术,实现了数据访问操作之前的安全过滤工作,提高了系统的执行效率并减少系统业务规则变化后的维护和修改工作,并对规则执行和规则引擎匹配算法等关键技术进行了深入的研究分析。最后本文在功能级和数据级访问控制两方面使用规则引擎,设计并实现了一个原型系统,并对该原型系统和现有系统进行了分析比较,该模型更加适合大规模用户的授权和权限管理工作。