访问控制(Access Control)是一项重要的信息系统安全机制。利用访问控制,可以限制访问主体对关键资源的访问,防止非法用户的侵入或因合法用户的不慎操作而造成的破坏。自主访问控制(DAC)和强制访问控制(MAC)自身的不足限制了他们在实际中的应用。基于角色的访问控制(RBAC)通过引入角色的概念,在很多企业级系统安全需求方面显示出优势,是目前应用广泛的访问控制模型。然而,随着企业规模的日益扩大及系统用户的持续增长,RBAC模型在实际应用中暴露出一些问题和不足,需要进一步改进。因此,本文对访问控制技术进行了研究,主要的研究工作有:1.利用中国剩余定理和二次剩余理论等密码学理论与方法,在一个具有层次关系的用户类的偏序集上提出一个利用密钥分配进行授权的动态的访问控制方案,确保低权限用户类的合谋不能导出高权限用户类的密钥。2.分析RBAC的相关规则,给出一种形式化描述及UML表示,并对DAC、MAC和RBAC进行比较分析。3.针对RBAC在应用中的不足,提出一种扩展式基于角色的访问控制模型ERBAC。在企业规模不断扩大的背景下,该模型与传统RBAC模型相比不仅实现了主体会话角色集合的动态调整,而且更加灵活,更适用于用户数量大、权限分配粒度要求较高的大型系统应用。