国家标准GB17859-1999将信息系统分为五个等级，不同等级信息系统的安全策略和安全机制强度从第一级开始依次增强，称为“等级保护制度”，这是我国信息安全的基本制度。访问控制是实现重要信息资源保护的最直接和最基本的手段，也是等级保护的重要内容。然而，由于目前常用的访问控制模型和方法尚无法很好地解决系统内和系统间的间接违规访问问题，使得高等级信息系统和多级互联环境存在着很大的间接信息失泄密风险。为此，本文以多级互联系统为背景，设计了一种支持不同等级和不同互联模式下的访问控制系列模型，并提出了安全熵理论对其安全性进行了证明。具体而言，本文的主要工作包括：1.为解决访问控制模型的安全性证明问题，提出了一种基于安全熵的量化分析方法。首先，根据信息论中加权熵的知识定义了安全熵，提出了违规访问行为判定的不确定性计算方法。然后，针对直接违规、流向违规和间接违规分别给出了安全熵计算方法，并根据可用性和保密性需求给出权值选取方法。第三，基于安全熵的形式，提出了判定系统是否存在违规访问可能性的方法，通过对典型访问控制模型的量化分析，验证了该方法的有效性，并指出了现有访问控制模型的不足。2.基于安全熵给出了多级互联系统中不同等级和不同互联模式下的子系统安全性定理。首先分析了等级保护要求，以安全熵的形式提出了二、三、四级子系统在非互联模式下的安全性条件，为单级访问控制模型的安全性证明打下理论基础。然后，对安全熵进行扩展，提出联合安全熵概念，基于联合安全熵给出了适应不同互联模式的多级访问控制系统的安全性定理，为多联合访问控制模型的安全性证明打下理论基础。3.提出了基于信息流强约束的单级访问控制模型，解决了系统内的间接违规信息流问题。首先，提出了基于信息流图的访问安全性判定方法，在信息流图基础上，对用户的间接违规访问行为进行增强型的约束。第二，对单级子系统状态机进行建模，定义了系统状态、状态转换规则、自动机和系统等要素，并给出了系统状态、状态转换规则、自动机和系统的安全性定理，对其安全性进行了证明。最后给出了二、三、四级子系统状态机的规则实现方法，并对规则集的安全性进行了证明。4.提出了基于联合控制的多级互联访问控制模型，消除了多级互联系统的跨级间接违规信息流、流向泄密、用户安全标识假冒等风险。首先对多级互联访问控制系统进行建模，加入安全域、系统等级、信任矩阵、互联模式等要素，完备地描述多级互联系统。其次，给出多级互联访问控制模型的安全性定理，在多级信息流图的基础上，通过对用户跨域、跨级访问进行联合控制，保持不同等级子系统控制违规访问的一致性。第三，基于安全熵理论对模型的安全性进行了证明。最后，给出了六类子系统状态机的规则集，可支持不同互联模式的多级互联系统。综上所述，本文形成了一套适用于多级互联系统的访问控制理论体系，为不同互联模式、不同安全等级的信息系统进行安全信息共享提供了基础理论支撑。