基于角色的访问控制模型是近十几年来在自主访问控制和强制访问控制的基础上发展起来的一种重要的访问控制技术。基于角色的访问控制模型的特点是通过分配和取消角色来完成用户权限的授予和取消,从而实现了用户与访问权限的逻辑分离。由于基于角色的访问控制的诸多优越性,它已成为当前访问控制研究领域的一个热点问题,得到了较为广泛的研究和使用。今天,计算机支持的协同设计得到了蓬勃的发展,呈现出跨地域、大规模、复杂化等特点,而传统的基于角色的访问控制是在集中式的背景下提出来的,对于在地域上分布复杂的大规模协同设计系统的访问控制已经突显出其不足;此外,在协同环境下,系统的管理工作异常繁重,完全依赖系统管理者参与系统中的所有授权行为,严重加剧了系统的管理负担,所以在协同设计系统中需要一种伸缩式的分散管理委托模式;同时,传统的访问控制列表具有描述性较低、灵活性不够、并且不易在大规模网络中进行传输等问题,无法适用协同系统中的访问控制需求。所以,我们认为在如何有效地构建基于角色的访问控制模型方面仍有较多的问题需要研究和改进,以适应协同系统独有的特点。本文针对上述问题对协同设计系统中的基于角色的访问控制进行了研究。论文的研究内容和创新点如下:1)在基于角色的访问控制中提出了域的概念,将访问控制中的主体和客体赋予域的属性,用来强调主客体的位置关系,在角色授予过程中,对属于不同域的主体区别对待,以便角色选择更加灵活。2)在模型中引入委托的机制,提出了基于任务和依赖的委托,使用户可以将自己的设计任务,从任务和依赖两个方面有条件的委托他人完成。从而形成一种伸缩式的分散管理委托模式,大大降低了协同设计系统中管理员的授权管理负担,并且满足了用户的委托需求。3)将XML技术引入基于角色的访问控制模型中,作为对传统的访问控制列表的替代。并提出使用Schematron来实现XML Schema的约束检验,从而实现了基于角色的访问控制中的策略验证。最后,将改进后的基于角色的访问控制模型应用于支持创新的可视化协同设计系统的访问控制模块。在HOOPS/ACIS环境下,利用VC++.NET 2003在WindowsXP平台上开发完成,并针对设计产品为手机外观造型的实例进行了分析,应用结果令人满意。