该文的目标定位在对一种新型的广义权限管理模型的研究,主要解决对企业内部带有语义信息操作的控制以及跨应用复杂安全策略的表述和实现中所涉及的科学理论问题和关键技术问题.该文在企业信息门户的背景下,建立了一个主客体交融的、细粒度的、带参数的、参数论域呈偏序结构的权限管理模型,有以下几点创新之处:权限管理中本体的引入和使用;为了描述企业内部带有语义信息的广义操作,在企业的业务层面上,我们引入了本体来对业务层面上与操作相关的信息进行概念建模,实现了一类对具有业务内涵、范围相当广泛的广义操作进行权限定义和管理的合适的表达框架和管理机制,并建立了相应的形式化模型;另一方面,本体的使用将传统的访问控制对象扩展为带参数的、参数论域通过领域本体呈现出结构性关联(偏序结构)的、并且具有业务语义的服务.这样,扩大了访问控制对象的范围,丰富了相应的访问控制机制.多策略授权设置语言;我们设计了一种能够用一个单一的框架来表达不同访问控制策略的语言,该语言支持用户自定义谓词和复杂授权规则的设置,表达力强且扩充方便,并且提供一种通用的机制来实现多种访问策略,为跨管理域和多个不同平台提供了一种统一的访问控制策略的设置和构成.该语言通过对谓词及用户自定义谓词的支持,使得我们不仅能够对文件、目录以及各种更细粒度的数据单元进行授权设置,而且还可以对各种带有复杂参数的服务进行授权设置.独立的权限管理服务器;我们设计了一个独立于应用程序的权限管理服务器,它能为多种应用程序提供统一的权限管理支持.每个应用只需要实现自己的业务逻辑,对业务逻辑的每个操作环节的权限判断全部可以由权限管理服务器来进行.这种设计将应用逻辑和授权逻辑分开,策略的验证、修改和执行不会影响应用逻辑的运行,同样,应用逻辑的改变也不会影响策略的执行.独立的权限管理服务器不仅加强了企业范围内授权策略的一致性,而且为企业应用内的业务操作提供了语义清晰的形式化模型和用户友好的结构化界面.基于最小授权规则库的权限计算;为了提高权限判断系统的性能,我们提出了一种新的基于最小授权规则集合的权限计算算法.该算法基于最小授权规则集合,用反链式结构来表示最小授权规则集合,采用动态继承的方法来进行权限的判断.这种方法考虑了授权规则的在各个方向上的继承传播,并能处理由于负授权的存在可能引发的规则冲突,降低了以往访问控制在空间上的耗费.