访问控制技术作为一项重要的信息安全技术，其主要目标是阻止未授权用户对敏感机密信息的访问，以及防止合法用户的不当操作对信息系统造成的破坏，本质上是在保证系统中信息的完整性和机密性的前提下，最大限度的支持信息的有效共享。　　随着计算技术和网络技术的发展，信息系统已由传统的封闭集中式模式发展成为开放分布式模式，给信息系统的安全研究带来了新的挑战。主要体现在两个方面：研究和开发满足开放分布式系统安全需求的访问控制模型，以及可以有效解决语义信息集成、共享和分析的策略表示和定义方法。　　开放分布式环境的开放性、异构性和动态性，给访问控制技术提出了新的要求。传统的在封闭集中式环境中建立的访问控制模型，包括自主访问控制、基于安全等级的访问控制和基于角色的访问控制，已不再适用。基于属性的访问控制(attribute based access control, ABAC)，引入实体属性的概念，对访问控制相关的授权辅助信息进行统一建模，通过定义属性之间的关系表达授权约束，具备强大的表达能力，能够有效的解决开放分布式环境中细粒度的访问控制和大规模主体动态授权问题，已成为目前分布式访问控制研究的主要方法。本文给出ABAC模型的数学形式化定义，为ABAC策略的表示和定义提供理论基础。　　在研究和抽象满足不同应用安全需求的访问控制模型的同时，对安全策略的形式化表示和定义方法的研究也正同步进行。策略是一组由管理需求产生的，相对持久的说明性规则，这组规则约束了系统作决策的过程。策略驱动的安全管理是分布式环境中安全管理研究中被学者和研究人员广泛认可和接受的安全管理方法。本体作为共享概念模型的形式化规范，本身也是一种高效的知识建模工具。本文提出了ABAC策略本体定义和实施框架OntoABAC，借助具有描述逻辑基础的Web本体语言OWL，对ABAC策略中各种实体和关系进行形式化定义，为策略信息的表达提供清晰的语义。鉴于描述逻辑和OWL在刻画实体和关系、能力的不足，给出了策略本体上基于SWRL的用户自定义规则的推理方法，对策略中的推理规则进行定义。在本体和规则推理的基础上，访问决策借助描述逻辑中实例实现推理服务完成。　　最后，设计并实现了一个OntoABAC的原型系统，主要功能模块包括策略和推理规则定义、策略决策和策略发布等。通过理论分析，结合系统实验，给出访问决策的性能分析。