随着企业信息化不断深入,企业资源安全成为最为急需解决的问题之一。访问控制对系统资源的安全性至关重要。访问控制的目标是防止用户对系统资源进行非授权的访问。分析研究了自主访问控制、强制访问控制、基于角色的访问控制和基于策略的访问控制技术的实现机制以及它们在应用上优缺点。目前大部分企业使用这些技术可以对资源实施保护。然而,企业根据各自访问控制业务逻辑,不同的应用有不同的实现机制,这样造成其访问控制模块不具备通用性,在企业间难以交换和共享信息。针对传统访问控制技术在信息交换上的缺陷,详细分析了可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)数据流模型和策略语言模型,并给出了它的授权决策过程,它提供一种既能够实现不同的访问控制思想,又可以以一种可移植的、标准的方式承载不同的业务逻辑的访问控制技术,解决了访问控制策略规则描述的专制性问题,建立了一个通用的访问控制语言规则。在分析目前访问控制技术的机制、XACML标准模型以及XACML应用环境的基础上,给出了一个基于XACML技术的安全访问控制机制,重点对机制中策略管理单元、策略决策单元、策略执行单元和策略信息单元的结构进行了详细的逻辑设计,以及对各单元模块实现的功能和工作流程进行详尽的阐述,并利用Java和sunXACML开发包对机制组件进行了实现。最后,对访问控制机制单元组件的功能进行了测试和分析,并对不足之处和进一步研究的内容进行了阐述。