访问控制是实现信息系统安全的一项重要机制，然而传统的访问控制技术—自主型访问控制和强制型访问控制已不能满足当今系统安全的需求。基于角色的访问控制模型有效克服了传统访问控制技术的不足，提供了一个较好的实现安全访问的控制策略。本文对建立完善的基于角色的访问控制模型和设计合理的基于角色访问控制模型的应用系统进行了理论研究和实践探讨。 论文首先分析介绍了RBAC96(Role-Based Access Control96)和ARBAC97(Administrative Role-Based Access Control97)两种具有代表性的基于角色的访问控制模型，并对这些模型的特点做了简要分析和比较，然后在分析RBAC96模型和ARBAC97模型不足的基础上，对模型进行了四个方面的改进：： 1、角色继承关系改进方法：通过将权限划分为公共权限和私有权限，并引入公共继承和常规继承两种继承机制来解决私有角色引起的问题； 2、角色权限冗余改进方法：通过引入主体和客体的分支参数以及虚拟权限，对主体和客体进行抽象和归类，减少角色权限的冗余； 3、最小权限原则改进方法：提出了两种实现最小权限原则的方法，(1)从一般权限中识别分离出风险权限单独处理；(2)对角色的继承层数加以限制； 4、职责分离的改进方法：建立审核员角色，管理员为用户分配角色或为角色分配权限后还必须经过审核员审核通过才能生效。 接下来综合以上四种改进方法，给出了参照ISO10181访问控制架构设计的改进访问控制新模型BRBAC的应用框架，并对其设计技术方案进行了详细的探讨，主要内容包括：基于BRBAC模型的应用框架体系结构、授权组织管理框架、访问控制各组件的设计，然后介绍了权限管理、角色管理、用户管理等访问控制组件的实现，总结了BRBAC模型的特点和优势。 最后介绍了基于BRBAC模型的应用框架在图书管理系统中的应用，并结合图书管理系统的应用特点，实现了最小权限原则的改进、角色继承关系的改进、角色权限冗余的改进以及职责分离的改进，完成了基于角色的BRBAC访问控制模型在图书管理系统的实现。