ANSI RBAC(基于角色的访问控制)规范是目前广泛使用的存取控制模型，对该规范中访问控制模型的描述形式灵活多样，如数据库表关系形式、普通文本形式、XML文本形式等。但上述描述形式只限定于特定的应用环境，因为缺少通用性和交互性而无法在分布式系统的自治区域中共享相关访问控制信息，这不但增大了维护成本，而且降低了系统的交互性和可移植性。 XACML(可扩展访问控制标记语言)是一个OASIS标准，是一种通用的用于保护资源的策略语言和一种基于XML的标准的访问控制语言，用于为不同的设备和应用编写访问控制策略，能够解决上述几种描述形式的不足。但XACML语言的灵活性和强大的表达力带来的代价是复杂和冗长，这样很难直接操作策略语言和策略文件。目前尚无成熟的商业产品或开源项目，可以方便的操作、编辑XACML策略，一般用户很难直接使用基于XACML的访问控制系统。 为解决上述问题，本文以XACML为访问控制策略描述语言，参考RBAC97、RBAC99框架和ANSI RBAC功能规范，实现了基于XACML的RBAC访问控制及管理系统XRBAC，并分析其在不同应用规模下的系统性能，取得了较好的效果。 本文主要工作如下： 1、深入分析ANSI RBAC的理论模型和功能需求，研究XACML对RBCA的语言特性支持，提出了基于XACML的RBAC访问控制应用模型(XRBAC)，并详细描述如何将理论模型转化为具体实现。 2、详细分析和设计了XRBAC应用系统，实现了部分RBAC管理、浏览及性能测试功能，详细描述了策略决策点PDP、策略信息点PIP模块的设计和实现。 3、详细描述了实验方法和过程，通过对PDP性能测试所获取的实验数据，分析系统性能，验证系统可行性。