随着信息安全技术的发展,基于角色的访问控制技术近年来成为访问控制领域的主要研究内容之一,并且在很多企业级系统安全需求方面显示了极大的优势。研究人员已经提出了若干基于角色的访问控制模型,其中包括著名的RBAC96模型族。然而,通过研究发现,目前企业应用的各种访问控制系统仍普遍存在着应用系统与访问控制系统紧耦合、缺乏动态访问控制能力以及权限管理繁琐等问题。本文便针对这些问题给出了一个新的访问控制模型——基于角色和规则的动态访问控制模型(Dynamic Role andRule-Based Access Control,简称DRRBAC)。本文首先研究了RBAC参考模型家族,对其优缺点进行了分析,研究了AOP技术的基本思想、相关概念及技术优势,为DRRBAC模型的给出提供了理论依据。然后对DRRBAC模型进行了详细的定义,给出了DRRBAC模型的基本集合、定义及描述,并给出了其实现模型。该模型在RBAC核心模型的基础上添加了规则链,包括前提性规则和约束性规则,实现了角色的自动指派以及动态访问控制能力,并在其实现模型中引入了观察者、代理的概念,实现了业务逻辑与权限逻辑的解耦。本文给出了DRRBAC模型基于AOP框架的详细设计方案。给出了权限控制系统的设计原则,并给出了数据库的详细设计方法。新方案采用面向方面技术,易于管理维护,为系统的构建带来了巨大的灵活性。并且新的方案保证了应用系统不必基于特定的框架进行设计,在传统的类似管理系统基础之上,解决了代码耦合、没有动态访问控制能力、管理不方便等等缺陷,新的方案具有了一定的通用性。本文最后依照DRRBAC模型的详细设计,利用AOP技术,介绍了DRRBAC模型的实现方法,验证了本文所提出的DRRBAC模型及其实现模型的可行性。