随着Internet突飞猛进地发展,基于互联网的应用越来越深入,而XML无论是作为标记语言还是被作为存储结构的数据库都随着Internet上的各种应用增多而被越来越广泛的应用。为了解决XML作为信息载体的广泛应用带来的安全问题的安全服务模型——安全访问控制模型,已成为现在人们研究的焦点。本课题将以传统的基于XML文档RBAC(基于角色的访问控制)模型作为文章研究的出发点,从而提出了基于XML文档数据库的扩展RBAC模型。该模型使用了Schema语言来定义了XML数据库文档结构,针对XML文档的特性,在分析基于XML的RBAC模型存在角色授权过于庞大和约束机制不完善的问题基础上,对其进行有效的改造和扩展,提出了一种新的基于XML文档的扩展RBAC模型。文章分析了传统的RBAC模型存在的问题,并在此基础上针对这些问题提出了解决方案——基于XML文档的扩展RBAC模型,并对新的扩展RBAC模型进行完整的定义和详细的说明。论文中还结合了实例模型集中从基于XML文档的扩展RBAC模型的系统实现及其系统实现所需的主要技术支持进行考虑,针对基于XML文档的扩展RBAC模型的设计,结合一个简化的企业内部人员管理信息系统为访问控制模型的应用环境,进行更为直观和深入的描述并具体展示了在基于XML文档的数据库中,实现扩展的RBAC系统所使用的关键性技术。本论文首先对访问控制模型中的客体按照其属性进行抽象归类,再将权限配置给一类客体,模型中的主体对客体的访问权限,是由主体对应的角色和访问域共同来确定,这样极大地减少了角色和权限的定义数量。其次文章采用的是职责关系隔离(separation of duties)规则来解决系统中角色间存在的利益冲突，以避免用户权限过大或者用户越位越权等现象出现,而影响系统的安全性能。文章还将使用schematron(基于规则的XML模式语言)来对约束规则进行形式化描述。基于XML文档的扩展RBAC模型能够符合XML文档细粒度的访问控制需求,该模型结构简洁灵活且比较容易实现。