近年来，随着信息技术的不断的发展，信息安全已成为信息系统设计中一个非常重要的问题。访问控制作为信息安全体系的一部分，同时也是国际化标准组织定义的五项标准安全服务之一，随之成为国内外学者研究的热点。访问控制是指主体依据某些控制策略或权限，对客体或是资源进行的不同的授权访问。通过访问控制可以有效地防止非法用户对机密信息的访问，限制合法用户的非法操作，以及由于疏忽所造成的误操作对资源的破坏。本文介绍了几种主要的访问控制技术，包括自主访问控制、强制访问控制技术和基于角色的访问控制技术，分析了这些访问控制技术的优缺点，并重点研究了基于角色的访问控制技术。在对基于角色的访问控制技术进行深入研究后，给出了基于角色的访问控制分级授权管理模型。该模型在传统基于角色的访问控制模型的基础上引入了“管理单元”，管理单元本质上是一个管理对象的集合，每个管理单元都包含了对应的用户集、角色集、权限集和约束集。管理单元内采用RBAC层次模型，实现角色的管理和权限的分配。通过层次化的管理单元，实现对用户和权限的分级管理。分级授权管理模型能更好地反映系统访问控制需求策略，使得系统授权过程变得简单、直观；分级授权将原来系统管理员的管理操作分散化，平衡了系统中管理人员的操作量，同时还能抑制权限的滥用。最后，本文结合授权服务体系将分级授权RBAC进行了设计和实现，主要包括系统框架设计，访问控制模块设计，授权策略的描述和实现以及属性证书的管理。