网络和信息技术的快速发展使得我们可以通过网络应用共享资源和服务,有效地提高了数据的利用率。然而,网络自身的开放性、匿名性、数据传输透明性等特征对保障信息的机密性和完整性提出了许多新的挑战,严重阻挠了网络技术的进一步普及和应用。访问控制是保证网络安全最重要的核心技术之一,它允许被授权的主体对某些客体的访问,同时拒绝向非授权的主体提供服务。对访问控制策略的安全与效用进行优化研究,这是运用访问控制技术保护网络环境中信息的机密性和完整性的关键所在。在使用控制授权子模型(UCONA)中,给出了基于集合的静态职责分离(SSoD)策略形式化定义,研究了如何判定一个SSoD策略在给定的UCONA系统状态中是可执行的问题。证明了在UCONA系统状态中直接静态实现SSoD策略是不可行的(coNP完全),然而实现静态属性互斥(SMEA)约束是一个P类问题,这为利用SMEA约束间接实现SSoD策略提供了理论依据。首先将SSoD策略转化成属性级别的SSoD(ASSoD)需求,然后以ASSoD需求作为中介,为其生成具有最低限度的SMEA约束,从而实现在UCONA系统中间接静态地实现SSoD策略。提出了可用策略的概念并给出了形式化描述,证明了对可用策略的直接验证是一个NP完全问题。给出了对可用策略直接验证的一个改良算法,该算法通过采用预处理和静态化简技术来降低算法的计算开销。实验结果表明,当可用策略中的用户与权限规模不大时,对可用策略的直接验证可在相对较短的时间内完成。为增强可用策略的弹性,提出了严格可用(SA)策略的概念,并证明了严格可用策略的验证问题是一个P类问题,而且严格可用策略的严格性要强于可用策略。针对基于RBAC的互操作策略缺乏动态性的不足,提出了一个域间属性映射机制,分析了该机制的特征,基于该机制构造了一种基于UCON的动态多域互操作框架,对于基于属性映射的跨域访问可能引发的三种类型的互操作冲突：循环继承冲突,职责分离冲突和基数约束冲突,分析了冲突的起因,并证明了这些冲突可在多项式时间内有效解决。针对SSoD与可用策略并存时由于互斥的需求可能引发策略非一致性冲突问题,定义了策略一致性检测问题,分析了该问题的计算复杂度,提出了检测一致性问题的几种特殊情形下的评判标准,证明了该问题在通常情形以及几种子情形下是不可解问题(NP难度),并处于多项式谱中(NPNP)。在此基础上,为一致性检测问题提出了一个改良算法,该算法采用了静态裁剪技术和预处理技术以降低算法计算开销,另外还将问题规约于可满足性问题(SAT)以提高计算效率。性能评估与实例分析表明了当SSoD与可用策略的数量规模较小时,该算法计算开销比较理想。研究了SSoD与SA策略并存时所引发的策略非一致性冲突的解决方法。首先,通过两个步骤降低推理策略非一致性的计算开销：(1)给出一个静态化简技术以减少需要考虑的策略总数。(2)为每一个策略非一致性冲突找出最小非一致性覆盖集合(MIC),从而只需要考虑MIC中的策略,用这种分而治之的方法可以极大地降低计算开销。其次,度量删除每一个SSoD和SA策略所带来的安全与效用损失,并以此评估每一个候选解决方案的优先级。最后,给出了两种基于优先级的策略非一致性解决方法：可能性逻辑与字典编辑优选方法,以求解出优化的删除方案。实例分析与性能评估表明了所提出的策略非一致性解决方法的有效性。