随着现代网络技术的发展，大型网络应用系统在访问控制方面大多存在授权不灵活、扩展不方便等问题。RBAC96(Role-Based Access Control96)模型的提出对这种状况有了很大的改善。然而，RBAC96模型也存在一些不足，如授权效率低，无法达到细粒度的访问控制等。本文针对RBAC96模型的不足，提出了扩展模型ORBAC，对RBAC模型中用户、角色、权限的概念进行了扩充和增强。首先，对用户概念进行扩充，通过对拥有共同性质的若干用户进行归类组成用户组，一方面可以方便组织用户，另一方面通过给用户组分配角色，使得用户继承所在用户组的角色，可以大大减少角色分配时的工作量。其次，引入机构元素，实现对用户和资源的划分，并对角色概念进行扩展，增加角色“是否是超级管理员”属性，将角色分为超级管理员角色和一般管理员角色，将管理工作分工管理，构建分级的树形用户管理关系，超级管理员角色可以管理所有机构的资源，下级管理员角色只能管理本机构的资源，实现细粒度的访问控制，提高授权效率，降低集中式管理中管理员的工作负担。最后，对权限进行扩展，通过资源对象的关联关系，将资源进行分组管理，从而方便授权，进一步提高授权效率。　　 论文给出了ORBAC模型管理的形式化定义，提出了针对此模型的控制策略。结合实际案例，基于ORBAC模型的形式化定义和控制策略对ORBAC模型进行了实现。首先对应用系统进行总体功能架构的设计，然后将系统分割成高内聚，低耦合的模块，对各个模块分别进行服务组件设计，数据结构和数据模型的设计，再采用SSH技术对各模块的设计进行编码实现，然后将各个模块整合在一起，实现ORBAC模型的总体功能。最后对系统进行了单元测试，功能测试。结果表明，将ORBAC模型应用到大型系统中时，授权效率明显高于RBAC96模型的效率，并且可以实现细粒度的访问控制，从而进一步论证了ORBAC模型形式化定义的有效性，其控制策略的安全性、合理性。