访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。随着Intemet和信息化技术的发展，企业信息系统得到了更多的关注和应用，传统的访问控制已经不能满足日益增长的安全性需求。由于企业信息系统涉及到企业数据的保密性和敏感性，实现严格的安全访问控制是十分关键的。本文的主要研究内容为：　　 本文主要研究了现有的基于角色的访问控制(Role-Based Access Control，RBAC)模型以及基于角色的转授权模型，总结了它们的特性及优缺点，设计并实现了一种扩展RBAC的可复用权限系统。本文的主要工作如下：　　 改进了层次数据结构和基于角色的转授权模型。　　 在功能权限基础上添加了数据权限模型，包括两种数据权限：数据节点权限和业务对象属性权限，将角色授权与用户个人授权相结合的灵活方式，避免传统RBAC单纯的角色授权的缺点，可以有效防止由于个别用户具有的特殊权限导致角色增加泛滥，也可以解决由于角色继承中产生的私有权限问题，并加入了组织，使授权更易于管理，加入了时间约束，增强了RBAC动态约束机制。　　 将特权用户分为系统管理员、系统安全员、系统审计员三类，实现了特权分离并且满足安全系统的最小特权原则，特权用户采用分层次授权代替传统RBAC模型的集中式授权以适合大型企业的组织层次较多的特点。　　 将设计的权限系统在基于Spring+Struts+Hibernate+Acegi的开发框架，采用基于MVC2模式的三层架构体系下实现，并将其和某通信公司的业务开发平台结合应用到项目当中。实践表明，该系统具有可复用性强、易于管理的、灵活性高的特点。