随着计算机与网络技术的发展，人们的工作和生活与各种信息系统密切相关，而同时信息安全面临着日益严重的威胁。在众多的安全技术和服务中，访问控制是确保系统安全的一个重要手段，是所有信息系统必不可少的模块。本文首先综述了访问控制技术的发展历史和研究现状，分析了信息系统日益复杂的安全访问控制需求，阐述了一般访问控制技术的安全策略、相关模型和实现机制等，并重点研究了基于角色的访问控制RBAC和基于属性的访问控制ABAC。然后，在RBAC和ABAC的研究基础上，本文设计了基于角色和属性的复合访问控制模型R&ABAC，并借助形式化方法进行了模型定义和访问策略描述。该模型利用角色授权和主客体属性映射的方法实现了复合的访问控制策略，能够满足典型的系统安全原则。与RBAC和ABAC相比，该模型同时具有细粒度、灵活性、扩展性和易于管理等优点，更加适用于解决复杂的访问控制需求。最后，本文应用R&ABAC模型分析、设计并实现了公共资源交易平台的访问控制模块。目前，公共资源交易平台已经正式上线，平台运行情况稳定，能够很好地满足实际的访问控制要求。