访问控制理论一直是信息安全领域的研究重点。访问控制能够有效地保证资源被合法地访问,防止非法使用。目前,网络环境不断发展,接入的对象更加多元化,特别是对于那些有WEB门户的信息系统,在权限管理上面临的问题愈来愈多,合理有效的安全机制是解决这些问题的关键。基于角色的访问控制技术一直是访问控制领域研究的热点,角色在用户和权限之间起着桥梁的作用,用户不再直接关联操作权限。该技术具有灵活和高效的特点,适用于访问控制要求较多的场景。本文首先探讨RBAC96和ARBAC97模型的特点,然后在RBAC模型的基础上,提出一个扩展模型——ODG-RBAC模型。主要工作是将权限细化,添加了对象、操作、域和分组等四个要素,域和分组是一组对象的集合。再者提出了域的可继承性和一种表示域之间的层级关系的方法,深入地控制角色可管理的数据内容和操作,提供了更细粒度化的权限功能。之后,将扩展后的ODG-RBAC模型作为解决家庭开放平台系统中分权分域问题的理论基础,分析了家庭开放平台系统分权分域管理所需的功能,然后针对业务需求提出了多样化的角色和权限设计方案,解决了系统中访问控制约束的问题,并实现复杂的职责分配。将权限管理系统分为域管理、分组管理、角色管理和用户管理四个子模块,采用Spring、Struts和Hibernate的集成框架实现了权限管理系统的可视化服务界面,方便用户管理。与RBAC基本模型相比,当系统中每个域包含的终端个数越多,ODG-RBAC模型的改进效果越明显;在系统中域的层次关系越复杂,即子域个数越多,继承深度越大的情况下,扩展后的模型在查询效率上的提高也越明显。因此,实践证明,在操作对象存在复杂的层次关系时,ODG-RBAC模型能有效地解决其技术问题,并达到较好的技术效果。