在开放的互联网络中，构建逻辑安全子网必须要实现三种安全机制：数据保密性机制、身份认证机制和访问控制机制。而安全的访问控制系统可以防止计算机系统中存储的信息受到非授权用户的破坏、篡改、泄漏和复制，任何访问控制系统都要对访问双方进行身份认证。因此，安全的带双向认证的访问控制机制已成为保证子网安全的核心，也是网络安全研究中的热点。本文的目的是研究安全子网的双向身份认证和访问控制机制，及其实现方案。针对基于Harn数字签名双向认证访问控制实现方案中所存在的问题，运用密码技术改进了原方案的双向认证协议，并作为对原访问控制方案的改进，基于整数二进制表示的唯一性，提出了一种新的单钥-锁对访问控制方案。新的双向认证访问控制方案克服了原方案的缺陷。本文主要包括三部分内容：一. 理论概述。简要介绍了开放系统互连安全体系结构，叙述了本文研究所使用的现代密码学的关键技术。二. 安全子网双向认证访问控制机制的研究。首先以“虚拟专用网络”（VPN）隧道模型和企业级安全子网结构模型为基础，提出安全子网的抽象模型，然后详细讨论了安全子网的双向认证访问控制机制。三. 双向认证访问控制实现方案研究。详细分析了基于Harn数字签名的双向认证访问控制方案的安全漏洞，并对原方案做了改进。在第五章和第六章给出了本文的主要结果。作为对原双向认证访问控制方案的改进，改进后的双向身份认证协议可以很好的抵抗中间人攻击和重放攻击，经过严密的BAN逻辑形式分析和论证，结果表明该协议是安全的；改进后的访问控制方案用单钥-锁对方案实现，除保持了一般单钥-锁对方案的良好动态特性外，在不需要访问权限递增假设下，实现了用户对文件的多种访问控制权限，并大大减小了溢出问题的发生可能