访问控制是管理信息系统安全防范和保护的重要手段之一,它的主要任务是保护管理信息系统的资源不被非法的访问和使用。然而传统的访问控制模型是由主体和权限直接发生操作关系,根据主体的安全级别来决定对客体的访问权限。面对现在企业的大量的信息、复杂的组织结构和频繁的人员流动性这一状况已不能满足管理信息系统的安全需要。基于角色的访问控制(RBAC,Role-Based Access Control)模型有效的克服了传统访问控制模型的不足之处,并且可以降低系统管理的开销和授权管理的复杂度,为管理员提供了一个较好的安全访问控制策略。论文首先介绍了基于角色的访问控制相关技术并针对具有代表性的基于角色的访问控制中的RBAC96模型进行了介绍和分析,对用户—角色指派模型、权限—角色指派模型进行分析。在分析已有模型不足的基础上,对模型进行了改进,包括对角色继承的层数和方法加以限制、对角色进行动态限制、增加角色激活这一功能等,对改进后模型的权限管理、用户管理、角色管理等访问控制组件进行了设计和实现,并且总结了能够解决的问题以及改进后的特点和优势。最后,采用改进后的基于角色的访问控制模型设计并实现了医疗体检管理系统。这个系统可以有效的保护体检人员的信息不被非法、越权的访问和使用。同时也大大减少了系统管理员工作的复杂度和工作量。由于权限是赋予给角色而不是用户个体的,所以系统可以适应医院或体检中心内部的调整,具有很大的灵活性。对角色进行动态限制、对角色继承的方法加以限制等改进方式对医疗隐私起到了更好的保护。系统所使用的C#、.NET、SQL Server2008等开发技术具有跨平台、易维护等优点,并且可以较好的适应医院或体检中心对访问控制的需求。