ASP(Application Service Provider,应用服务提供商)是一种业务租赁模式,企业用户可以直接租用ASP的计算机及软件系统进行自己的业务管理,从而节省一大笔用于IT产品技术购买和运行的资金,因此ASP成为中小企业信息化的首选模式。作为一种典型的Web应用,安全问题成为当前限制ASP发展的最重要方面,良好的安全策略能促进ASP的迅速发展及应用。尽管大多数ASP提供商采取了相关的安全措施,但是对ASP安全问题的研究局限在物理安全、网络安全、数据加密等表层,使ASP安全问题难以有突破性进展。本课题突破了现有的强调通过外界因素来解决ASP安全问题研究方法的局限,从基于B/S架构应用的客户层、应用服务层、数据库层三个层次分析了ASP应用安全问题,强调了ASP安全策略的重要性,着重研究了应用级安全,并将基于角色访问控制方法用于ASP应用设计。本文首先介绍了ASP模式、ASP安全的重要性以及本文的研究背景。接着从整体上介绍了ASP公共服务平台安全体系,分析了ASP服务平台安全风险及相应的安全组件。第三章从ASP服务平台作为一种典型的Web应用程序出发,分析了ASP应用级分层安全设计,将ASP应用安全分为客户端、服务器端及数据库三个层次,并对各层作了详细介绍。论文第四章将基于角色的访问控制——RBAC(Role Based Access Control)技术应用于ASP应用程序设计,提出了基于三级角色授权的ASP应用程序安全设计方法,对这种方式进行了详细介绍,并给出了一个实例。最后,对本文的研究内容进行了总结,并对未来ASP安全研究方向进行了展望。