网络在现实的生活中使用越来越广泛,但是安全问题却越来越突出,如何保证安全性已经成为首要解决的问题.目前公钥基础设施PKI(Public Key Infrastructure)被广泛地应用在科研机构、企业和国家的安全之中,其核心是解决了网络空间中的信任问题.但是PKI仅能确定主体的身份,并不涉及到访问控制领域.为能在PKI的基础上进行访问控制,IETF工程组1997年在X.509协议中定义了属性证书的概念,后又定义了权限管理设施PMI(Privilege Management Infrastructure)的系统架构,该文在此基础上提出了基于属性证书的角色访问控制模型AC-RBAC(Attribute Certificate-Role-Based Accesss Control).访问控制模型主要有三种:基于点阵的访问控制模型、基于访问矩阵的访问控制模型和基于角色的访问控制模型.由于RBAC的系统易于管理、容易扩展和使用简单,故应用较多.该论文首先对AC-RBAC模型从类、组合证书、访问控制模型、角色赋予、权限赋予、角色层次结构和约束等七个方面进行设计,并且在随后对模型从一般关联规约、属性证书规约、角色关联规约、权限规约、角色权限规约、作用者授权规约和激活规约等七个方面进行了形式化规约,并归纳了规约的结构.形式化规约能够更准确的描述系统,这对进一步的机器验证和软件开发将有很重要的作用.最后,由于形式化规约涉及到数理逻辑和集合论,比较难以理解,系统实现起来比较困难,于是使用统一建模语言UML(Unified Modeling Language)设计一个基于AC-RBAC模型的系统,应用到Web系统中,实现了Web的安全访问控制.