随着网络的迅速普及和应用深入社会生活的各个方面,网络安全问题日益成为一个突出的问题。而访问控制是网络安全体系结构中一个重要的组成部分,本文研究了目前得到广泛应用的J2EE平台下的基于角色(RBAC)的访问控制技术。基于角色的访问控制系统,是将用户划分为与其职能和职位相符合的角色,根据角色赋予相应的操作权限,以减少授权管理的复杂性,降低管理开销并且提供一个较好的实现复杂安全策略的环境。论文首先从网络安全体系结构开始,介绍了实现一个访问控制系统所需的两个模块:身份认证模块和访问控制模块。然后分析了RBAC模型的基本结构和J2EE平台的特点,在此基础上提出了一种通用化的利用关系数据库表述用户、角色,用户/角色分配关系,同时采用J2EE平台中Servlet组件的过滤器技术来实现基于RBAC在三层Web架构上的访问控制方案,并且利用XML文件来实现安全策略的部署。访问控制模块必须结合身份认证模块来实现,本方案中的身份认证模块采用SHA-1信息摘要散列算法,实现用户登陆口令的有随机数加强的加密传输以防窃听,系统的完成了访问控制,传输加密的整合。方案采用JSP/Servlet/JavaScipt+Tomcat+MSSQL等技术设计了RBAC的实现架构,结合J2EE平台安全模型声明性和编程性两者的优点,具有表述易懂,标准化程度高,便于扩展和变通,易于实现复杂安全控制,与操作平台无关等特性,对现有的其他RBAC实现方法是很好的完善和补充。最后指出了实现进一步安全通信需要研究的方向。