权限管理技术是安全系统的核心技术,它通过权限的设置和维护,来阻止对计算机系统和资源的非授权访问,确保只有适当的人员才能获得适当的服务和数据。权限管理问题一直是计算机系统安全研究和应用的热点之一。现代应用环境下,如企业信息门户、版权保护、分布式电子图书馆中,信息资源的多样性和复杂性使得安全机制的设置越来越成为一个复杂和困难的挑战。当今,权限管理面临着若干问题,如:信息资源类型多,对应用资源的访问控制粒度越来越细,多种安全策略共存于一个系统中,跨应用的安全策略和应用专用的安全策略,以及企业范围内授权策略的一致性等问题。目前,许多应用开发者都采用在应用系统中嵌入访问控制的方法来解决上述问题。这种方法较难实现、耗费大且易出错,从安全角度讲,也是很危险的,它使安全策略的验证、修改和充分执行变得非常困难。本文的目标定位在对一种新型的广义权限管理模型的研究,主要解决对企业内部带有语义信息操作的控制以及跨应用复杂安全策略的表述和实现中所涉及的科学理论问题和关键技术问题。本文在企业信息门户的背景下,建立了一个主客体交融的、细粒度的、带参数的、参数论域呈偏序结构的权限管理模型,有以下几点创新之处:权限管理中本体的引入和使用为了描述企业内部带有语义信息的广义操作,在企业的业务层面上,我们引入了本体来对业务层面上与操作相关的信息进行概念建模,实现了一类对具有业务内涵、范围相当广泛的广义操作进行权限定义和管理的合适的表达框架和管理机制,并建立了相应的形式化模型;另一方面,本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联(偏序结构)的、并且具有业务语义的服务。这样,扩大了访问控制对象的范围,丰富了相应的访问控制机制。多策略授权设置语言我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言,该语言支持用户自定义谓词和复杂授权规则的设置,表达力强且扩充方便,并且提供一种通用的机制来实现多种访问策略,为跨管理域和多个不同平台提供了一种统一的访问控制策略的设置和构成。该语言通过对谓词及用户自定义谓词的支持,使得我们不仅能够对文件、目录以及各种更细粒度的数据单元进行授权设置,而且还可以对各种带有复杂参数的服务进行授权设置。独立的权限管理服务器我们设计了一个独立于应用程序的权限管理服务器,它能为多种应用程序提供统一的权限管理支持。每个应用只需要实现自己的业务逻辑,对业务逻辑的每个操作环节的