随着计算机与网络通信技术的高速发展,在开放的网络平台中部署企业级的网络应用也越来越多,网络与信息安全成为了网络技术研究的重点。针对网络安全技术体系,国际化标准组织提出了五个层次型安全服务体系：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认性服务。然而针对各层次服务的研究相对独立,相关安全解决方案的提出也只是针对该体系中的某一层面。伴随企业对信息安全管理的要求的不断提高,这已不能满足企业的需求。本文在分析了现有模型的基础上,提出了更为安全的基于能力一角色的访问控制模型,并结合数据加密,设计并实现了基于能力一角色的安全访问控制系统。具体工作如下：1.给出了基于能力-角色的访问控制模型的形式化定义,并结合实例对模型进行了详细的分析。该模型通过用引入“能力”这一概念,添加与其相关的鉴定权限和鉴定角色,使管理员的授权操作得到了限制,从模型层次上解决了管理员的授权操作不受限制的潜在风险。2.基于对远程访问协议和密码技术研究,给出了访问控制系统的安全通信架构。该安全通信架构的提出,使得访问控制系统不单是访问控制服务,也是一个数据保密服务。这使得系统可以更好的满足当前企业对信息安全管理的更高要求。3.结合现有实现技术,基于能力一角色的访问控制模型和安全通信架构,详细描述了安全访问控制系统主要功能模块的设计和实现。