以EPC网络（Electronic Product Code Network，EPC Network）为基础设施的跟踪与溯源系统，利用EPC的编码惟一性，在前端无线射频识别（Radio Frequency Identification，RFID）标签内存储全球惟一的产品编码，将与该编码相对应的具有特殊意义的数据存储于后台数据库中，从而实现对产品生命周期中各环节的信息跟踪与可溯源。然而，产品信息进入开放式EPC网络后将面临着严峻的安全威胁，所以亟需对EPC网络安全机制展开研究。由于访问控制机制居于信息系统安全的核心地位，因此理应受到高度重视。针对上述问题，本文以基于RFID技术的跟踪与溯源系统为背景，针对EPC网络访问控制问题，提出了一种基于可扩展访问控制标记语言（ExtensibleAccess Control MarkupLanguage，XACML）的EPC信息服务（EPC Information Services，EPCIS）访问控制模型，详细分析了模型关键模块与模型的工作流程，给出了模型中面向松耦合的策略执行点、面向实时性的安全通信组件的实现方法与性能测试结果。本文研究工作主要包括：1、在深入研究XACML语言与模型的基础上，设计了一种适用于EPC网络的EPCIS访问控制模型。该模型包含访问控制服务组件、访问控制执行接口以及安全通信组件等三个安全模块，通过安全模块之间的协作，能够满足EPCIS访问控制机制灵活多变的策略部署需求，同时满足海量EPCIS查询响应效率的实时性需求。2、设计并实现了一种面向松耦合的策略执行点。首先，分析了EPCIS访问控制模型中策略执行点的功能需求，重点研究了基于Spring面向切面编程（Aspect-OrientedProgramming，AOP）的方法调用拦截机制和基于Java注解的属性信息获取机制。其次，通过将策略执行点中方法调用拦截、属性信息获取、授权响应处理等功能封装成为多个独立模块，利用依赖注入实现了上述模块的集成。最后实现了Fosstrak EPCIS查询接口与策略执行点的松耦合集成。3、设计并实现了一种面向实时性的安全通信组件。首先，分析了EPCIS访问控制模型中安全通信组件的功能需求，重点研究如何实现授权请求/响应的传输，策略执行点与策略决策点的通信，以及保证访问控制模型的实时响应效率等关键问题。然后，利用安全性断言标记语言（Security Assertion Markup Language，SAML）标准实现了授权请求/响应的标准化传输，利用Spring Web服务实现了策略执行点与策略决策点之间的灵活通信，利用授权响应缓存机制提高了访问控制模型的实时响应效率，从而实现一种实时、分布式的安全通信组件。性能测试结果表明，该安全通信组件能够较好地增强EPCIS访问控制模型的适用性。