权限管理是访问控制策略的核心之一,目前的权限管理模型存在访问效率低,授权和权限管理复杂及访问安全性差等特点。为了适应电子商务、电子政务、企业信息化等行业安全访问控制的需求,本文提出了针对B/S结构的权限管理模型——Privilege Management for B/S Access Control Framework(PM4BS Framework)。该模型在结合DAC和RBAC优势的基础上,引入了权能域和域继承。该模型具有以下特点:1)应用DAC作为用户访问权限的基础,以权能链方式实现DAC。2)在用户权限控制中,为了提高访问效率,减小权能链的长度,引入了用户组和权能域,并实现权限域的继承。3)把负权限引入到DAC中,并给出了权限冲突的解决机制。4)提出了有限权限机制。在用户权限控制中,有限权限的继承以权能域的继承方式实现;在基于角色的授权策略中,有限权限的继承以角色的继承方式实现。同时给出了权能域和角色的继承方法。5)模型区分了控制权限和访问权限,细化了访问控制粒度,并给出具体的权限检索机制。6)在基于角色的授权策略中,为了减少授权的复杂度和权限冗余,给出了角色定义原则、为角色分配权限原则、为用户和用户组分配角色原则,提出了以用户组为授权中心的授权模式。7)在权限撤销方面提出了低复杂性的角色非关联删除算法;模型支持转授权,给出权限控制机制和转授权机制,引入基于时限的转授权机制,实现了多极授权和分布授权。综上所述,本文的研究工作是为了解决实际工作中出现的权限管理系统访问效率低、安全性不高、访问权限易冲突、授权复杂且工作量大、权限冗余等不足,而建立的一种权限管理模型。实践证明以该模型为基础开发的权限管理系统的特别适用于B/S结构的网络系统,在实际应用显示了强大的优势。