随着Web应用的迅速发展和软件规模的日益扩大，为了节约软硬件成本及维护的费用，软件即服务(Software as a Service，SaaS)作为一种新的软件应用模式应运而生。“单实例，多租户”是SaaS的一种模式，在这种模式下处于同一实例下的租户的数据有被其它租户非法访问的风险。访问控制技术是控制主体对客体的访问，它能够保证授权用户对资源的有效访问，因此进行访问控制技术的研究对Web应用的发展是非常有价值的。　　本文首先研究XACML策略描述语言的特点，分析了XACML2.0和3.0版本的不同，并在支持XACML2.0版本的umu-xacml-editor-vl.3.2编辑器基础上设计实现了满足XACML3.0规范的编辑器。然后分析了当前多租户环境下访问控制模型，扩展了XACML的数据流模型，使其适合作为多租户环境下的访问控制模型。　　在整个访问控制过程中，租户策略的安全性是我们必须要保证的，它是租户正常访问应用的核心。本文设计并实现了基于文件过滤驱动的模块，在操作系统的底层对策略文件进行保护，同时设计并实现了基于Java实现的策略监控、更新模块来对策略文件进行管理。最后将基于XACML数据流的ABAC扩展模型应用到具体的多租户系统中，并对系统进行分析和测试，验证了该模型能够适合灵活多变的多租户环境。