随着Internet及其相关技术的飞速发展,Web已经成为内容丰富的信息库和交互平台。Web系统也从最早的信息展示发展到了现在的包罗万象,例如企业管理系统、网络交易平台、即时通讯平台等等,人们也越来越习惯在Web系统中处理工作和日常事务。随着Web系统中资源和用户的迅速增加,现有的Web系统架构已经表现的越来越无力,如何有效的分配资源和管理用户,成为了一个亟待解决的难题。为了更好的实现这个目标,必须有一种新的策略,能够用来处理日渐增加的资源信息和用户群体,因此,新的权限管理技术是必需的。权限管理的主要内容就是访问控制,在实际应用方面主要分为功能级访问控制和数据级访问控制两种层次。在功能级的访问控制方面,基于角色的访问控制RBAC采用用户、权限分离的思想,加入了角色概念,能够有效的解决目前大部分Web系统的使用需要,但是,面对信息量和用户群的爆炸式增长,需要对RBAC进行更加有效的扩展和改进,以适应新的需求。另外,在数据级访问控制层次,传统方法使用第三方控件对数据进行数据库访问操作之后的过滤工作,只能实现可视层次的访问控制,需要建立一种新的模型,来真正得达成操作层次的数据级访问控制。论文中在功能级访问控制方面对RBAC访问控制策略进行了改进,提出了OS-RBAC模型,在RBAC的基础上加入了UR约束、RP约束,将大量的人工授权管理操作转化为了系统自动执行,大大减轻了系统管理员的管理工作,有效得降低了访问控制中由于人为因素产生系统安全问题的可能性,减少了安全风险,同时,在权限管理中引入了标准化匹配的概念,对企业大型信息系统中的多部门多业务复杂授权问题提供了有效的解决方法。论文还在数据级访问控制方面对传统的数据级访问控制实现策略进行了分析,使用规则引擎取代传统方法中的第三方控件,引入了基于规则引擎的数据访问过滤策略,通过规则的概念,实现了在数据访问操作之前的安全过滤操作,大大减少了系统数据访问整个流程中的安全数据过滤工作,降低了系统开销,有效得提高了系统执行效率,并且实现了数据操作层次的访问控制。