随着企业信息化程度的提高,信息安全成为企业必须重视的问题。企业级大型应用软件系统的权限管理功能不完善将极大威胁企业的信息安全。访问控制是权限管理的重要组成部分,它在信息系统中用来确保只有授权人员才能访问敏感信息。对访问控制技术和系统实现进行研究具有非常重要的理论和实用价值。 XACML(eXtensible Access Control Markup Language),即可扩展的访问控制标记语言是OASIS(Organization for the Advancement of Structured Information Standards)——结构化信息标准推动组织推出的重要的标准。与以往的策略描述语言相比,XACML基于XML语言,既具有能够同时被人和计算机识别的特点也有访问目标、主体(访问者)、操作以及规则等其他策略描述语言相同的要素。本文从XACML的基本概念和语言流出发,研究并分析XACML的数据流模型、策略语言模型和应用领域。在理论研究的基础上提出了基于XACML的访问控制模型,并且利用JAVA对模型进行了实现。由于采用XACML语言,该模型具有标准性。该模型采用该模型利用策略文件存放访问控制信息,具有良好的通用性和可扩展性,并支持分布式应用。 笔者利用该模型对YALE大学的开源单点登录系统CAS(Central Authentication Service)进行相应扩展,通过访问控制策略来实现用户的统一认证。系统管理员只需维护策略就可实现访问控制的管理,减轻了系统维护的难度。由于认证模块的通用性,使得CAS的可移植性和可扩展性的到显著提高。本文的研究对访问控制和单点登录领域提供有力帮助。