基于角色的访问控制RBAC是一种非常重要的已被广泛应用的访问控制模型，可以帮助企业或组织大大降低安全管理的复杂性和成本，适用于大规模的应用。但传统的RBAC模型还存在不少问题，已不太适应于更高要求的应用，本文对RBAC进行了理论及应用方面的研究，并取得了以下研究结果： 1.提出了一种RBAC的扩展模型，它综合了传统模型的有利因素，并引入一个新的概念：分层化(或级别化)，包括了范围，级别等概念，可以灵活地适应不同的应用。对传统模型中存在的一些模糊概念进行了澄清，并用清晰的概念细化了扩展模型的定义。它不仅能够有效地实现分布式的管理，而且还能方便地处理私有化的问题，并且减少了角色的数量和管理的复杂度。它分为三个子模型，分别为核心模型、层次模型、规则模型。 2.对模型中的混合继承关系进行了研究，给出了一些好的性质，利用它们可以简化角色间各种关系的计算，并给出了几种简单的计算方法。 3.对RBAC模型中角色间的问题，如最小权限角色集问题，权限角色层次生成问题，角色适当指派问题，角色大量指派问题等进行了研究，并针对不同的问题给出了相应的算法及具体的实现过程。着重解决角色间关系方面的问题，尽量通过程序本身来代替管理人员解决角色的产生、指派等问题，以便减轻管理员的工作负担，达到避免无谓的人工错误。 4.对所提出的扩展模型与一些具有代表性的RBAC模型进行了比较。通过类似概念的对比，说明扩展模型具有非常强的表达能力，能够适应更广泛的需求，也使得各种资源的管理变的更加容易简单。扩展模型通过很简单的方式就能模拟出已有模型的本质内容，反之不然。 5.设计并实现了一个基于Web的安全网关系统，它是针对HTTP协议实现的一个应用层网关，作为所有被保护的后端服务器的反向代理，提供了单点登录、反P2P下载、多种身份认证、基于角色的访问控制和分布式管理以及强大的集中审计等功能，在实际应用中表现出了高的稳定性和性能，收到了良好的效果。对企业的Web资源进行了安全可靠的保护,并使用基于角色的扩展模型对用户实行了统一的帐号和授权以及资源管理。大大减少了策略管理中的不一致性，降低了管理费用，同时满足灵活性、可靠性的要求。另外，该系统拥有非常强的可扩展性，支持现有的大部分标准，可以根据需要很容易地完成各种访问控制策略。