计算机信息系统的安全措施包含了认证、访问控制、审计和存储等内容，作为重要组成部分的访问控制可以分为网络层、主机和操作系统以及应用层访问控制三种。传统的访问控制模型主要有主体-客体视图、自主访问控制和强制访问控制模型。基于角色的访问控制(RBAC)模型在用户和权限之间增加了角色，使用户通过角色获得访问权限，极大地方便了安全管理工作。与传统的模型相比，RBAC更灵活，更一般，更能够适应应用程序对访问控制复杂性的需求。在北京大学信息化建设的过程中，有大量的对基于角色访问控制的需求。构造一个满足现有应用需求的RBAC访问控制系统，并且能够在该系统的基础上以尽量少的代价满足诸多应用的需求是本文追求的目标。本文的内容包含：介绍了RBAC模型的相关研究和工作。简单介绍了几种访问控制模型，着重介绍RBAC模型的基本内容和组成。说明了扩展模型的必要性，阐述了模型约束的分类和多样性。在ANSI的RBAC模型基础上系统地总结了其中存在的势约束，针对应用系统的需求扩展了若干势约束。扩展了周期性时间范围约束。建立了包含上述约束的扩展模型。设计了能够扩展多种约束的XMLSchema，使用XML表达扩展模型。构造了扩展模型的函数。为了减少各个应用系统中访问控制的开发代价，在上述扩展模型的基础上，讨论了扩展约束的一般步骤和限制条件。此外，对安全策略在应用系统之间的交换可能产生的完整性和一致性问题，本文进行了分析并在实现中提出了解决方案。最后进行总结并提出下一步工作的展望。