访问控制是网络安全防范和保护的主要策略,确保网络资源不被非法使用和访问是其的主要任务。传统的访问控制己经不能满足日益增长的安全性需求。基于角色的访问控制(RBAC)增加了角色这一概念,通过将用户映射为在一个组织中的某种角色,角色拥有一定的访问权限授权,就可以根据用户所扮演的角色进行访问授权与控制,从而有效地整合了传统访问控制技术的优势,同时又克服了传统访问控制技术的不足,企业保护策略的执行过程将会更加灵活,并为管理员提供了一个更好的实现安全策略的环境。本文首先分析比较了传统的访问控制DAC、MAC和基于角色的访问控制RBAC然后详细分析研究了RBAC96模型。在对RBAC96模型分析的基础上,本文对RBAC96模型进行了扩展。针对随着系统的不断扩展,角色和用户的数目还会不断增长,使得“用户—角色”授权管理的越来越复杂和工作量越来越大,使得管理员工作的难度增大,基于角色的访问控制的效率降低的情况,本改进模型中引入了用户组概念。同时针对RBAC模型没有审计功能,对于授权用户的操作没有作任何的限制,其可以在其权限范围内进行任意操作,而对于授权用户的操作没有任何监控的情况,将审计引入到本系统。本文给出了加入分组和审计功能的扩展RBAC模型的形式化定义,并就分组和审计两部分进行了详细的介绍。最后将扩展的RBAC模型应用到高校办公自动化系统中,给出了详细的访问控制系统的访问控制、用户管理、角色管理、权限管理各个模块的设计,最后介绍了系统的实现和运行情况。