1、隨著現(xiàn)代網(wǎng)絡技術(shù)的發(fā)展，大型網(wǎng)絡應用系統(tǒng)在訪問控制方面大多存在授權(quán)不靈活、擴展不方便等問題。RBAC96(Role-Based Access Control96)模型的提出對這種狀況有了很大的改善。然而，RBAC96模型也存在一些不足，如授權(quán)效率低，無法達到細粒度的訪問控制等。本文針對RBAC96模型的不足，提出了擴展模型ORBAC，對RBAC模型中用戶、角色、權(quán)限的概念進行了擴充和增強。首先，對用戶概念進行擴充，通過對擁有共同性質(zhì)的若

2、干用戶進行歸類組成用戶組，一方面可以方便組織用戶，另一方面通過給用戶組分配角色，使得用戶繼承所在用戶組的角色，可以大大減少角色分配時的工作量。其次，引入機構(gòu)元素，實現(xiàn)對用戶和資源的劃分，并對角色概念進行擴展，增加角色“是否是超級管理員”屬性，將角色分為超級管理員角色和一般管理員角色，將管理工作分工管理，構(gòu)建分級的樹形用戶管理關系，超級管理員角色可以管理所有機構(gòu)的資源，下級管理員角色只能管理本機構(gòu)的資源，實現(xiàn)細粒度的訪問控制，提高授權(quán)效率

3、，降低集中式管理中管理員的工作負擔。最后，對權(quán)限進行擴展，通過資源對象的關聯(lián)關系，將資源進行分組管理，從而方便授權(quán)，進一步提高授權(quán)效率。
　　 論文給出了ORBAC模型管理的形式化定義，提出了針對此模型的控制策略。結(jié)合實際案例，基于ORBAC模型的形式化定義和控制策略對ORBAC模型進行了實現(xiàn)。首先對應用系統(tǒng)進行總體功能架構(gòu)的設計，然后將系統(tǒng)分割成高內(nèi)聚，低耦合的模塊，對各個模塊分別進行服務組件設計，數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)模型的設計，再