访问控制是国际标准化组织ISO在网络安全体系标准中定义的5大信息安全服务功能之一。简单地说，访问控制是用来保护计算机资源免于被非法用户的访问（删除、破坏或更改）。访问控制为信息、资源提供保护，以对抗非授权的信息访问和非法的资源使用。当前，基于角色的访问控制（Role—Based Access Control，RBAC）技术已成为主流的访问控制技术，广泛用来进行信息、资源的访问控制。其中，RBAC96模型及其管理模型ARBAC97（Administrative RBAC）是访问控制领域的基础模型。ARBAC97管理模型存在授权原子管理事务繁多，管理递归等问题，其管理过程依赖于系统以外的管理权威，诸多新型访问控制模型都对这一管理模型进行改进。在ARBAC97及其后续管理模型中，由于缺乏安全分析工具，授权动作的安全性得不到有效检测和保证，导致系统存在权限泄漏风险。针对上述问题，论文设计了基于信任的分布式访问控制管理模型—TB—ARBAC模型。论文的主要研究工作包括： 1）建立了安全策略的虚拟执行机制，支撑策略的安全分析过程。分析了RBAC管理过程中的控制方式和授权决策方式，确立了授权决策点，建立了安全策略的虚拟执行环境，以获得安全策略的执行效果，为授权操作提供决策支持。 2）构建了基于信任的RBAC管理模型—TB—ARBAC模型。以ARBAC97模型为基准模型，引入基于信任的管理权限委派机制，建立起以自上而下的管理权限分发模式、智能化的安全分析工具、管理权限使用的审计模型为主体内容的TB—ARBAC模型。同时，分析了TB—ARBAC模型中信任的特点、使用方式、产生方式，设计了TB—ARBAC中的信任协商机制，提高了授权的灵活性。 3）研究了信任支持下的权限泄漏和安全的内涵，重新界定了TB—ARBAC中安全的含义和权限泄漏的定义，依此提出了两类基本的安全分析实例。 4）提出了基于图规划理论的安全分析方法，开发了安全分析原型系统。建立了安全状态转移系统，提出了安全分析问题的领域模型建模思路和过程，定义了虚动作和“un命题”等基本概念，依次解决了角色继承关系语义转换问题，ARBAC策略的开放世界假设问题和前提条件中的负谓词问题。重点分析了规划图扩展过程中，“虚动作”与“un命题”的剪枝原理，依此改造了图规划算法，求解由安全分析问题转换而来的规划问题。最后，开发了可应用于ARBAC策略安全分析的原型系统，运用实例进行应用说明。 5）提出了面向TB—ARBAC模型的审计模型。分析了TB—ARBAC模型中的审计要素和审计信息的构成，设计了审计信息访问控制机制，并定义两类基本审计事项：常规审计和事故责任审计，介绍了各自的审计内容与审计方法。 相比ARBAC97模型，TB—ARBAC提高了系统的安全性和灵活性，降低了访问控制授权管理的复杂度。