访问控制是网络安全技术中一个重要的研究领域。传统的访问控制机制如自主型访问控制和强制型访问控制,随着应用环境逐渐复杂,已远远不能满足现代系统安全的需求。基于角色的访问控制RBAC(Role-Based Access Control)在系统中引入了角色的概念,去除了用户与资源之间关系的直接耦合,强调了访问控制中抽象的重要性,增加了系统在制定访问控制策略与管理时的灵活性。然而,传统的RBAC模型中并没有说明系统管理员如何为用户分配和撤销角色,实现中往往采用了手工的静态方式来完成,导致的结果是企业管理成本的增加。为解决上述问题,基于规则的角色访问控制模型RB-RBAC(Rule-Based RBAC),在RBAC模型中引入了规则的概念,通过规则采用隐式的方法为用户分配相应的角色,系统管理员的工作可以由规则来自动的完成一部分。但,上述模型中共同的问题是,对角色的定义过于宽泛,角色所代表的语义不明确,角色既要体现企业的逻辑结构又要反映系统的安全策略,然而这两个部分在企业中变化的程度是不同的,企业的逻辑结构在很长一段时间内是不会变化的,因为它涉及到企业业务功能的部署;另一方面,随着企业应用环境的变化,比如,新的用户和新的资源的引入,企业需要新的安全策略来应对。这种变化程度上的矛盾,需要对现有模型进一步改进和扩展。本文在研究了已有诸多RBAC模型的基础上,进一步对RBAC模型进行了扩展。重新定义了模型中角色的概念,在用户-角色分配方式上借鉴了基于规则的角色访问控制;在角色-权限的分配上,为了适应安全策略的灵活动态的调整,引入了上下文的概念。不仅具有基于规则的角色访问控制模型已有的特性,此外,还考虑了用户和系统资源本身的状态,并建立了权限动态转移的机制,增强了访问控制系统中的灵活性与动态性,为系统的决策者和安全管理员