在全球信息化发展节奏不断加快的当下,内网安全事件造成的危害程度逐渐加深,影响范围逐渐增大。越来越多的企业和机构对局域网安全建设的需求日益突出,对内网安全标准也提出了更高的要求。现有的可信内网安全机制依赖于传统的访问控制机制和特定的网络边界防御机制,而基于角色的访问控制机制拥有静态策略关联和权限划分粗细粒度的设计局限性,让可信内部网络自身无法保障内网资源访问过程安全可靠的同时,也难以提供面向内网资源数据高效动态的访问控制服务。本文针对可信内部网络敏感资源泄露隐患日益严重,但当前内网安全机制无法实现高效的访问控制服务的现状,提出了一种改进的可信内网访问控制方法。本文结合现有可信网络访问机制特点和基于属性的访问控制策略,将用户终端的属性作为关键要素,分别从访问控制模型策略、访问实现方式和模型有效性分析等方面,对可信内网访问控制模型进行了方法研究,最后设计并实现了基于用户角色和终端属性的可信内网访问控制原型系统。本论文的具体工作如下:（1）针对可信内网中基于角色的访问控制模型的角色权限划分粗粒度、静态策略灵活性低问题,结合基于角色的访问控制和基于属性的访问控制两者优势,提出基于用户角色和终端属性的可信内网访问控制模型。通过分析可信内网场景的安全需求,对访问控制模型进行模型和策略设计,在细化内网资源权限分配粒度的同时,保证资源的访问控制过程与内网环境安全状态实时相关,实现与内网环境安全状态相关联的动态资源访问权限调整策略。（2）根据改进的可信内网访问控制模型定义,为在可信内网访问的实际场景中部署改进的访问控制模型,提出了可信内网访问控制实现方案。方案介绍了改进的内网访问控制模型在可信内网访问系统中的网络架构部署及其访问实现方式,在各网络实体的功能模块和访问控制流程设计的基础上,详细介绍了改进的访问控制方法的实现过程。结合访问控制模型的安全性和应用效果分析,以及实际可信内网访问系统中策略执行效果分析,共同验证可信内网访问控制方法的有效性。（3）根据涉密可信内网访问场景设计,在实验中设计实现了一套部署基于用户角色和终端属性的可信内网访问控制方法的内网原型系统,对该模型下系统访问控制的功能和性能进行实验测试,用以验证本文的访问控制方法的访问策略执行效果,为可信内网环境中部署执行本文的访问控制方法证明了可行性。