由于多应用层结构的数据表示、数据访问和业务逻辑相分离,而使代码的重用、维护和扩展都变得很容易,因而,多应用层结构已替代单应用层成为目前ERP系统的主流结构。但对系统安全来说,应用层数越多,出现安全问题的几率就越大,系统安全管理的难度也就越大。在信息安全访问控制领域,由于基于角色的访问控制(Role-Based Access Control,RBAC)为管理大量的资源访问权限提供了一种灵活的、动态的方法而成为目前安全管理的首选。但由于多应用层结构的系统资源位于不同的应用层中,而目前RBAC模型主要侧重于单应用层应用,因而不能套用现有的RBAC模型来管理各应用层面的资源权限。为此,本文提出了一种基于多应用层结构的RBAC(简称:Multi-RBAC),利用角色这一“中介”来管理位于各应用层的系统资源访问权限。本文以RBAC在多应用层中的应用为研究对象,涉及内容从理论模型的提出、设计以及实现等一系列内容。首先是理论模型Multi-RBAC的提出与研究,并在对Multi-RBAC模型研究的基础之上进行RBAC在J2EE系统的应用方法研究以及在Oracle数据库中的应用。其次,在理论研究的基础上,结合应用实际,针对Oracle9i和BES6.5(Borland Enterprise Server)进行应用设计,设计包括数据库层设计、Web容器层设计、浏览器层设计等三个方面。最后,将理论模型和应用设计运用到具体项目―TETCERP的安全管理子系统,从软件功能模块分析的角度来描述该系统的安全管理子系统的实现。TETCERP安全管理子系统分为7个子模块,对每个模块进行详细功能划分并描述各子模块所要完成的功能和实现方式以及相互之间的逻辑关系。