随着Web的迅速发展,在实现全球信息共享的同时,迫切需要保护Web资源的安全。Web资源访问控制是一种重要的安全措施,并成为Web安全问题的研究重点之一。针对目前Web资源访问控制中透明性、动态性和细粒度访问控制的需求,本文以Web资源服务中传输的数据流为对象,深入研究了如何通过数据流分析实施Web资源访问控制的技术。主要工作包括以下几点:1、深入分析了Web数据流特点和基于数据流分析的Web资源访问控制的可行性。从Web资源访问控制的需求出发,分析了Web数据流的特点:双向性、动态性、复合性,提出了Web数据流元素及其属性的概念,分析了通过数据流分析进行Web资源访问控制的可行性。2、提出并建立了一种适应Web资源特点的基于数据流分析的访问控制机制。针对Web资源访问控制需求,对通用访问控制框架进行了扩展,使其支持双向的访问控制。以扩展的通用访问控制框架为理论依据,提出并建立了一种基于数据流分析的Web资源访问控制机制。该机制能够适应Web资源的特点,通过对Web数据流的双向分析与控制,为Web资源透明、有效、细粒度的访问控制奠定了基础。3、重点研究了上述机制中的两项关键技术。(1)深入分析了Web数据流元素属性,设计了Web数据流元素属性信息提取算法。将Web数据流元素作为访问控制的基本单元,分析了请求和响应两个方向的Web数据流元素的相关属性。提出并引入片断概念作为更细粒度的响应数据流元素,并且重点从有效控制动态Web资源的角度,分析了片断的相关属性。片断的控制,本质上是通过对响应数据流中一段数据的控制,实现了对相应Web页面元素或区域的访问控制。设计了请求和响应数据流元素属性信息的提取算法。算法能够有效提取Web数据流元素的属性信息,为访问控制决策中的策略匹配提供依据。(2)设计了基于Web数据流元素属性的访问控制策略匹配算法。依据Web数据流元素属性制定相应的访问控制策略,提出了一种改进的多模式匹配算法AC_BMH_QS,并将该算法应用到访问控制策略的匹配流程中,改进了原有策略匹配方法的不足,较好地实现了多策略条件下快速、实时的访问控制决策。4、设计并实现了基于数据流分析的Web资源访问控制原型系统,通过应用实例分析并检验了上述机制的合理性。