访问控制是信息安全领域里的一项重要技术，主要用于判断用户是否有权使用或更改某一资源，并防止非授权的用户滥用资源，其中基于角色的访问控制(RBAC)是近些年来研究和应用的热点。相对于传统的访问控制方式如DAC或者MAC，RBAC的最大优势在于它针对角色授权，使得用户和权限被逻辑隔离，从而简化了授权管理。但由于RBAC96模型和NIST RBAC建议标准的不完善，在需要对资源属性进行细致描述的应用环境中，RBAC模型显得适用性不强，访问控制颗粒度较粗。 分级访问控制的思想来源于基于PICS的网络内容监管和过滤，利用分级的方法可以方便而且灵活地描述资源的属性，并且分级思想的可扩展性强，应用范围广，分级操作不但可以针对网络内的资源，还可以针对访问主体。 有效地整合分级和角色两种访问控制方法无疑能够大大增强RBAC在属性描述方面的能力，整合后的访问控制不但可以灵活地描述资源的属性，而且还保留了RBAC中权限和用户分离的优点。本文的工作也是围绕这个目标展开的。 本文在简要介绍了RBAC和分级两种思想之后，给出了“整合分级的角色访问控制方案”的初始模型，这个模型只是将两种访问控制逻辑简单叠加；之后，在初始模型的基础上加以改进，得到了一个有效整合两种访问控制逻辑的改进方案，并对改进方案加以描述和分析，同时也介绍了改进方案在办公自动化环境中的实施方法和性能评价；之后文章着重研究了在改进方案中，如何有效地描述策略，如何合理的进行策略评估以及判决过程标准化的问题，并且作者给出了改进方案在办公自动化环境下的应用实例；文章在最后研究了策略存储的相关问题，包括策略库的构建，策略文件在策略库中存储时所采用的数据结构，策略库的安全性等问题。