近几年来,基于角色的访问控制RBAC(Role-Base Access Control)作为访问控制的一个领域得到了迅速发展。其基本思想是通过角色来实现用户与权限之间的逻辑隔离,从而简化对访问控制的管理。然而,当涉及到众多用户、角色和权限的大型系统中,如何定义和管理这些成百上千的用户、角色、权限以及它们之间的关系也是很复杂的问题。以ARBAC97、ARBAC99为框架的一系列RBAC管理模型虽然在一定程度上解决了这个问题,但依然具有其局限性。ARBAC97模型系列建立在受限的用户库和权限库之上,用户到角色的指派及权限到角色的指派都较复杂且存在严重的信息冗余,角色层次不易维护且容易发生冲突导致既定的安全策略被破坏,而且模型不具有随信息的内容和上下文而动态改变的特性。从应用的角度出发,对ARBAC97模型系统进行了部份改进。采用系统先决条件、私有权限和角色分离的方法分别对RBAC管理模型的三个子模型(URA模型、PRA模型和RRA模型)进行优化设计;通过对模型添加基于任务运行时的约束以获取动态特性。从而形成一个新的RBAC管理模型,该模型克服了ARBAC97模型系列的缺点,能适应各种应用的需求。并简化了RBAC的管理,大大提高了管理的效率。在改进的RBAC管理模型的基础上,结合目前流行的组件技术,给出了模型实现系统的详细设计。该系统具有跨平台、可重用、易维护等优点,可较好地适应大型企业应用系统对访问控制管理的需求。