访问控制机制的主要目的在于阻止信息和数字资源的非法访问。从二十世纪六十年代到二十世纪九十年代，有三个主要的访问控制模型用于保护数字资源和信息免于未经授权用户的威胁:自主访问控制(DAC)、强制访问控制和基于角色的访问控制(RBAC)，这些访问控制模型统称为传统访问控制模型。传统访问控制模型主要应用于封闭系统或环境中信息的保护，是一种静态的授权保护机制。然而信息技术的持续创新，导致出现了分布式、网络化的计算系统，这为访问控制机制带来了新的挑战，因此需要一种新的安全机制来应对挑战。　　为了解决新型计算环境带来的挑战，Sandhu和park(2000)提出了使用控制模型(UCON)。不同于传统访问控制模型，UCON为信息和电子资源提供更丰富、更精细和更持久的控制，更将信任管理和数字版权管理等新兴应用程序纳入到了一个统一的框架内。访问控制决策在UCON里由授权、义务和条件等共同决定。UCON同时支持属性的可变性和决策的连续性，这是UCON最大的特性。　　尽管相对传统访问控制模型而言，UCON是先进的控制机制，但是其应对无处不在的计算环境仍有很大的缺陷。首先，UCON中组件是预定义和静态的。其次，UCON模型仅仅考虑了单一的使用会话过程，对并发使用会话没有任何考虑。最后，UCON没有指定如何发布属于资源使用的义务和可以执行的管理。例如，UCON没有机制来实施发布关于购买和免费资源的义务以及怎样帮助管理资源。本文提出了几个基于UCON的改进模型，以解决上述三个问题。此外确保访问控制策略的正确性是一项重要和艰巨的任务。目前已经提出几种测试方法，然而都没有考虑到各种部件之间的关系和这些元素的改变如何对其他元素造成的影响。为了确保访问控制策略的正确性，本文还提出了一种基于XACML文档格式，称为“变换和交换规则”的算法用于测试访问控制策略。具体工作如下所示。　　为了增强UCON的表达力，本文提出了创建(RightToCreate)和销毁(RightToDestroy)两个权限。这些权限必须等主体获取其它权限时才能应用，这意味着，只有经过授权的并拥有这些附加权限的主体可以在需要的时候创建或销毁UCON系统中的组件及其属性。例如，系统管理员可以将这些权限委托给服务、内容和资源的提供者，让这些提供者可以适时地创建和销毁资源。增加两个权限的意义在于减少了系统管理员的工作，同时保证资源和其属性是动态的，可以在UCON系统中适时地被创建和销毁。此外，它允许资源提供者指定和管理权限并在UCON系统中整合这些权限。为处理义务的履行问题，本文提出了挽回声誉机制（RRM）来控制UCON系统中资源的未来使用。从而确保了UCON以外的资源的控制和管理。　　无处不在的计算环境下UCON的并发执行是常态，而且是复杂的。复杂性最主要的来源在于属性的更新和决策的持续评估，因此传统系统中使用的两阶段锁机制不会很有效。为解决这个问题，本文提出了一个包含三种控制器的模型:策略依赖检测器(PDD)，预控制(pc)和控制器(oc)。这些控制器的引入确保了在使用决策点或策略决策点(UDP/PDP)及时产生新的属性值的情况下并发更新操作的有效性。PDD负责检测策略依赖性和同步这些策略。为了避免延误，同时增加UDP/PDP的效率与性能，预控制和控制器分别负责预更新和在线更新功能，从而减少UDP/PDP的工作量。通过实验，我们比较了我们的模型与XACML的UDP/PDP引擎，结果表明我们的模型在性能上表现更好。　　为了确保访问控制策略的正确性，本文提出一种基于XACML文档格式的策略测试算法。该算法称为变换与交换规则算法(CRSR)，主要基于XACML文档格式生成变异策略。该算法侧重于策略规则和目标的制定，以向量形式代表策略。布尔变量1代表对应于请求的策略是可应用的，0代表对应于请求的策略是不可应用的。测试过程如下:首先，我们从策略中识别和提取规则和目标，同过应用所提法生成变异策略。然后基于前提:策略集指定了对于某个请求，哪些策略是可用的，同时策略指定了对于该策略哪些规则是可用的，我们对规则和目标进行评估。最后比较所提算法产生的变异与利用变异测试产生的变异。所提算法的重要性在于该算法可以被用于同时产生变异策略与请求。此外，算法保证了策略、规则与条件的完全覆盖。通过实验，我们所提算法在故障挖掘能力上优于其他测试技术。　　最后，为确保购买资源的再分配安全性，本文提出一种通过远程客服端执行使用控制的包概念。我们把资源分类成三种，访问的需求也分为三种。具体来说，资源被分类成:敏感，不敏感，和情报资源，访问需求分类成:购买式访问，暂时访问和修改式访问。基于这样的分类，资源被打包成需要的义务形式展示给主体。我们将指纹和逻辑炸弹嵌入到主体所请求的资源中，用于限制资源被购买后的再分配。指纹的使用可以确保对资源的使用实现了地理位置限制。逻辑炸弹机理有助于执行资源的义务机制。