在通信技术迅速发展的今天,网络技术也得到了高速发展,网络环境实现了更多用户在共同任务上的通信和协作,信息在更大范围内实现了共享。在网络技术给生活带来方便的同时,也使得信息安全问题成为重大隐患,无论是防止信息资源不被泄露还是提高系统的授权效率都是需要关注的问题。访问控制技术正是解决上述问题的有效措施。本文从上述背景出发,对基于角色的访问控制模型进行了工程实践和理论研究。基于角色的访问控制模型授权方式简单,权限管理方便,并且支持灵活的安全策略,自提出以来就得到了广泛的关注。但随着网络环境越来越复杂,基于角色的访问控制模型也暴露出了缺陷:在将模型应用在网络环境时,系统中角色数的暴增使得用户无法快速查询合适的角色来激活,也称为用户角色查询问题。激活角色是基于角色的访问控制模型授权的关键环节,因此用户查询角色的快慢直接影响模型的授权效率,必须对模型进行扩展和优化。基于上述研究内容,本文以解决模型在网络环境中应用时存在的用户角色查询问题为目标,提出了一个基于上下文约束的角色过滤模型,并给出了模型在著名安全框架中的实现。本文通过不断的研究,取得了一定的创造性成果,主要包括以下几点:首先,本文通过分析、总结出了几种上下文感知应用,并且描述了一般网络背景中的上下文信息。同时,为了利用上下文信息解决用户角色查询问题,本文阐述了模型层面的上下文约束分类,规范化定义了上下文约束,并给出了上下文约束的生成过程。其次,本文提出了基于上下文约束的角色过滤模型。在用户、角色、权限和会话的基础上,新引入了上下文属性、上下文条件和过滤集元素,并且建立了上下文属性和用户、上下文条件和角色两对关系。该模型在运行时通过实时检测上下文属性来获取用户的上下文信息,并利用上下文信息来评估分配给角色的上下文条件,最终根据评估值过滤掉不满足上下文约束的角色。这种方式在保证细粒度的访问控制下,缩减了用户所要查询的角色范围,使得用户可以快速找到合适的角色,进而提高了模型的授权效率。接着,本文给出了扩展模型中各个组件的功能描述,包括:系统管理函数,系统支持函数,系统审阅函数和角色过滤函数,其中角色过滤函数描述了从用户的上下文属性变化到过滤角色之间的过程。功能描述概述了创建和维护模型组件以及支持系统运行所需要的各种函数接口,这些函数在实现中可以打包成更高级别的抽象操作。最后,本文基于成熟的安全框架给出了模型的实现,进一步说明了模型的授权过程和可行性。本文侧重研究访问控制模型在网络环境中的应用,不仅依据复杂的实际需求提出了新的访问控制模型,定义了模型的元素和关系,同时也给出了模型的授权过程。拓展了访问控制模型在网络环境中的应用,对未来的相关的研究具有一定的启发。