基于网络跨越多个组织的大规模应用系统具有分布性、开放性和动态性等特征,跨越多个管理域的分散组织通过Internet动态结盟进行综合协作的过程中,如何对服务提供者拥有资源的访问进行有效控制成为亟待解决的安全问题。其中,基于角色的访问控制模型是研究的热点。在传统的分布式访问控制模型中,往往采用“乐观”模式,服务请求者将能力或主体属性等披露给服务提供者。但是这些能力和主体属性等通常携带了大量隐私信息,无限制的披露势必会给多域环境中的互操作带来许多安全隐患和风险。因此,如何保护这些隐私信息的内容敏感及拥有敏感,研究多域互操作的访问控制模型具有较大的意义。首先介绍了基于角色的访问控制发展历程,分析了已有访问控制模型研究隐私保护方面的优点和不足。在传统基于角色的访问控制模型基础上,结合基于身份的加密思想,提出了一种支持隐私保护的角色访问控制模型,以支持安全目标除机密性、完整性、可用性之外对隐私保护方面的扩展。该方案以角色布尔变元来描述策略表达式,将策略表达式转化为析取范式,建立访问控制决策与策略布尔表达式取值之间的映射；服务提供者在加密阶段将策略隐涵在公钥中,请求者的解密密钥包含了个体的授权指派,当且仅当请求者拥有加密公钥对应的私钥才能够正确解密,解密过程隐涵着策略和用户所拥有的角色的一致性验证。该方案不泄露除了用户1D以外的其它信息,并且在服务请求者与提供者交互时一次通信就完成了数据交换。对模型的隐私保护逻辑进行了详细的阐述,并重点描述了系统初始化、授权指派、策略定制及响应、加密处理、消息恢复及验证五个组成部分。最后,采用随机预言机模型证明本方案满足IND-CCA2语义安全；通过算法复杂度分析,并且与其他方案的计算代价相比较,本方案对比传统模型并没有显著增加运算量,在执行效率方面影响很小。