访问控制技术用于阻止用户对资源进行未授权访问,由结构化信息标准促进组织提出的可扩展访问控制标记语言XACML提供了描述访问控制策略规则的标准和执行决策授权的模型。然而,在对请求进行决策之前,该模型并没有提供对策略规则进行分析检测的有效机制,具体指策略冲突检测和冗余分析。针对这个问题,本文将XACML进行扩展,包括XACML策略规则的语义扩展、策略管理点PAP的功能扩展,以及XACML授权模型的扩展。首先,论文针对现有的利用描述逻辑或网络本体语言OWL形式化XACML规则存在的表达能力不足的缺点,提出了一种利用网络本体语言OWL和语义网规则语言SWRL将XACML规则进行语义扩展的方法。利用SWRL表达OWL不能描述的访问控制约束和XACML访问控制规则,使得XACML语义描述更加丰富。其次,利用基于语义的方法分析由于主体属性层次、资源属性层次和语义不一致引起的规则冲突,并进一步分析冲突消解算法,给出了在不同的算法下规则冗余定理及证明;提出了一种基于语义推理的规则冲突检测方法,并结合一个实例,演示了从本体知识库的构建到规则推理以及一致性检测的过程,验证了该方法的有效性。通过规则分析和冲突检测,扩展了策略管理点PAP的功能。最后,提出了将扩展的PAP功能映射到各个具体模块,再将这些模块集成到XACML模型中,从而扩展了XACML模型的方法,并给出了扩展XACML的数据流模型。