随着网络全球化的热潮和移动计算技术的发展，信息和系统安全成为日益严重的问题。访问控制是信息安全领域中的一个基础性的核心组成部分。基于角色的访问控制(RBAC)是目前主流的访问控制模型。但在很多实际的应用场景中，需要限制用户只能在某一段时间内或某一地理区域内使用角色。RBAC标准模型不能满足应用的时空约束需求。对RBAC模型进行时空约束的扩展可以满足实际需要，具有广泛的应用前景。 事物的时间属性和空间属性具有显著的区别：不同事物时间属性的变化是一致的，而不同事物的空间属性的变化是不一致的。因此，应采用不同的方法对时间约束和空间约束进行研究。 本文提出了一个扩展时空约束的RBAC模型。首先给出该模型的时间约束的形式化描述：(1)RBAC的基本元素——用户、角色和权限，都具有相同的时间属性；(2)周期时间约束可以分别作用于角色、用户角色分配和角色权限分配；(3)在一个时间区间内，激活次数约束和激活持续时间约束可限制用户激活角色的过程；(4)触发表达式描述动态事件之间的时态依赖关系。通过该时间约束可灵活地描述各类与时间相关的访问控制策略，满足不同的应用需要。在空间约束方面，提出了一个空间模型。该模型基于常识性地理认知定义了的物理区域和逻辑区域的概念，形式化描述了物理区域之间、逻辑区域之间、物理区域与逻辑区域之间的空间关系。在本文中提出的RBAC模型中利用它给出作用于用户角色分配和角色权限分配的空间约束。 本文最后给出一个基于此模型的访问控制中间件系统的架构和核心算法，并用prolog语言实现了空间约束推理。该系统可代替应用系统(域)完成多粒度授权管理、访问控制等相关工作。