随着计算机与通信网络的飞速发展,多元化的互联网应用给人们的生活带来极大的便利。与此同时,信息的传播也更加广泛迅捷,越来越多的隐私信息被暴露在互联网中,这使得信息安全受到了极大的考验。访问控制正是保证信息安全的重要手段之一,而ABAC作为访问控制中的一种适用于分布式环境的模型,近年来成为了研究重点。其中,XACML拥有丰富且灵活的策略表达能力,成为了描述ABAC策略的语言标准。本文从上述背景出发,对基于属性的访问控制模型进行了工程实践与理论研究。ABAC模型通过对实体属性的统一建模实现了访问控制授权的灵活性与可扩展性,但随着用户和资源的增长导致其策略库膨胀。进一步,访问请求在策略库中对适用策略的匹配效率降低,策略评估的性能受到了严重的影响,亟需得到优化以保障ABAC的可用性。针对上述问题,本文从ABAC模型出发,以XACML标准为基础,分别从策略匹配过程与策略结构进行了优化研究工作。针对策略匹配过程优化,本文提出了一种匹配树的评估方法;进一步,在匹配树的基础上,本文提出了基于细粒度决策图的高效评估方法,实现了策略评估过程优化。此外,本文对提出的优化方法进行了性能验证实验。本文的核心工作有以下几点:首先,通过分析ABAC评估过程与XACML策略结构特性,本文总结出了影响策略性能的几个因素,并分别对不同因素进行了分析探讨,指出性能优化的可行方向。同时,针对已有的策略优化方法,本文进行了归纳分类,并指出了各自存在的优缺点。其次,本文提出了匹配树结构以及相应的评估方法,实现了策略匹配的优化,并首次支持了运行时策略的动态变更。一方面,匹配树映射了策略库并对自身索引信息进行了极大程度的精简,从而加快适用策略信息的获取速度,能在保持语义不变的前提下提升匹配效率;另一方面,针对在运行时策略更改的性能问题,提出了基于匹配树的策略管理解决方案,首次支持了策略变更的动态性,使ABAC能够在运行时更改策略,而无需停用策略库。接着,基于匹配树特性,本文提出了细粒度决策图结构以及相应的评估方法,实现了策略结构的优化。匹配树以策略中包含属性序列细分了策略,本文以此为基础将决策图细分。在匹配树的基础上,细粒度决策图既弥补了决策图结构难以维护更改的缺陷,同时兼顾了决策图评估效率高的特点。此外,根据细粒度决策图在评估过程会发生冲突的情形,进一步提出了即时合并策略,并证明了细粒度决策图与原策略语义的一致性。最后,在仿真实验与结果分析中,本文对两种优化研究进行实现并进行性能测试,并针对运行时策略的更改以及决策图的策略变更设计了仿真实验。实验结果表明,匹配树匹配方法以及细粒度决策图方法与传统评估方法相比,在性能方面分别有着不同程度的提升。在运行时的策略更改方面,匹配树方法远远优于传统方法。在决策图的策略变更方面,细粒度决策图的策略维护难度也得到了极大程度的降低。本文提出的匹配树结构具有广泛的适用性,不仅能有效提升策略匹配的性能,还支持了运行时策略库中的策略更改,极大的提升了评估引擎的实用性。同时,细粒度决策图解决了决策图难以维护的缺点,兼顾了决策图的高效评估性能,为ABAC模型实际应用提供了思路。