在信息系统开发设计过程中,安全性能被放在了重要的位置,成为信息系统生存的关键,构建企业级信息系统的安全体系己成为一个重要的研究领域。访问控制作为系统安全体系结构中的一个重要组成部分,是解决安全问题的关键技术之一。其中,基于角色的访问控制RBAC(Role-Based Access Control)为管理大量的资源访问提供了一种动态灵活的方式,在企业级开发中得到普遍应用。J2EE作为目前流行的企业级开发平台,其访问控制机制主要是基于角色的,体现了RBAC的一些应用优势。论文研究访问控制技术及其在信息系统安全体系中的应用,主要完成了如下工作:研究了目前信息安全领域的发展现状,分析了信息系统的安全需求,并对其中的安全问题进行了深入分析,研究了主要的安全技术,包括数据加密、入侵检测、身份认证、访问控制等。重点分析了信息系统中的安全访问控制技术。对访问控制技术进行了深入研究,论文首先从访问控制的基本元素、核心手段、基本原理和访问控制模型入手,对访问控制技术做了基本介绍,并对常用的访问控制相关技术做出了分析。然后,对RBAC模型及J2EE访问控制机制进行了深入的分析:RBAC模型借助于角色实体,实现了用户与访问权限的逻辑分离,大大减少了授权管理的复杂性,易于实现动态复杂的访问控制策略;J2EE标准中的访问控制机制作为一个基于角色的安全机制,通过认证和授权,保障应用的访问安全。在此基础之上,结合J2EE中的常用技术:Servlet组件技术、JSP组件技术、JavaBean和EJB,对系统开发模式、体系结构设计、数据库设计做出了具体分析和论证。验证了其在企业级应用访问控制方面的有效性和实用性。最后,本文进一步分析比较了J2EE访问控制机制同标准RBAC模型访问控制策略间的差异,并结合企业级应用的特征,指出了J2EE访问控制机制中所存在的问题:对角色间继承约束关系以及角色权限动态管理的不支持等。论文工作对J2EE平台技术下基于角色的访问控制技术的应用研究提供了有益的参考。