基于角色的访问控制模型(RBAC)是在理论和应用研究中广泛使用的一种访问控制模型。但是,在大型管理信息系统中应用RBAC时,仍存在用户、角色、权限管理复杂和运行维护成本高等问题。针对RBAC应用系统中角色具有多维语义的特点,本文提出了基于角色的多维访问控制模型(MDRBAC)。主要工作如下:在RBAC应用系统中,角色代表的用户群体通常处在各种管理框架构成的多维组织结构中,若按“最小操作权限”原则定义角色,角色的数量多且其内涵混杂了多种语义,增加了系统管理的复杂度。针对以上问题,提出了多维角色访问控制模型。模型中角色按用户的多个属性表示成多维角色分量的形式,模型给出在角色分量上定义角色层次关系、角色限制和角色权限指派关系的方法。使得角色的表示方式更加贴近用户在组织内的职责模型,角色的语义清晰,简化了模型的角色管理和权限分配。在MDRBAC中,角色与权限的映射关系建立在角色分量集合上。本文提出以资源属性的谓词子句表示资源访问权限,角色分量对应资源访问权限的子句集,给出由角色分量的权限集合合成多维角色权限集合的方法。证明了角色分量上的层次偏序关系可得出角色集合上的层次偏序关系;角色分量集合上定义的角色限制,合成多维角色后仍能满足相应的限制,保证了模型的完整性。本文利用一个应用实例进一步验证了提出的多维角色访问控制模型;给出模型在实例系统中资源及其访问权限约束、用户角色指派、角色分量授权等的语法规则和形式化描述方法(以XML文档的形式定义)。设计并实现了MDRBAC模型管理工作平台,支持应用系统管理员定义应用系统中基于MDRBAC的访问控制元素,提供应用系统权限分配一致性检查功能,及用于动态检查角色约束限制的标准函数。