访问控制是一种重要的信息安全支撑技术，提供对资源的机密性和完整性保护。基于属性的访问控制 ABAC)是一种新兴的访问控制技术，基于用户、资源和环境的安全属性进行授权，具有细致的授权粒度和灵活的属性框架，可以容易地描述多种安全策略。RBAC是一种有代表性的ABAC，显著降低了安全管理的代价，取得了广泛的现实应用。本文以ABAC及其特例-RBAC为中心，重点关注了访问控制模型、委托授权管理和跨域授权应用、实现框架，取得了以下研究成果：　　 1.提出了一个灵活的形式化的基于属性的访问控制模型(F-ABAC)。该模型提供了灵活的属性与授权框架，能够精确描述多种访问控制策略；采用了一种细致和灵活的策略组合方法，允许同时实施多种访问控制策略。　　 2.研究了基于ABAC的细粒度可控委托授权管理应用。首先以RBAC作为参考模型，提出了一个形式化的基于量化角色的可控委托模型QBCDM，引入了量化角色的概念，提供了灵活的委托粒度，避免了引入较高的管理代价；实现了一种结合强制与自主特征的细粒度委托约束机制，保证了多步委托过程中委托能力的收敛性。然后，将该模型的思想和方法推广到ABAC委托。　　 3.研究了基于ABAC的跨域授权应用。首先以RBAC作为参考模型，提出了一个适用于大规模、开放式环境的细粒度可控委托授权模型FCDAM，基于信任度实现了对角色中具有不同敏感度的权限的传播控制；然后将相关思想和方法推广到基于ABAC策略的委托授权模型，为构建基于Internet的虚拟计算环境提供了一种有力的授权支撑技术。对安全互操作中角色映射引起职责分离约束违反的原因、检测方法和先决条件进行了讨论。提出了iRBAC2000违反静态互斥角色约束的充要条件和约束违反检测算法；给出了添加角色关联和用户/角色分配的先决条件，进而将相关结论推广到ABAC安全互操作，保证了互操作过程始终满足静态职责分离约束。　　 4.基于XACML和SAML设计并实现了一个基于属性的通用访问控制中间件，实现了跨管理域的匿名资源访问控制，降低了上层应用开发的代价，增强了访问控制决策功能的可重用性，为ABAC的现实应用提供了技术支持。　　 总的来说，本文的理论研究成果从模型、委托授权管理和跨域授权应用三个角度促进了ABAC和RBAC的研究，本文提出的中间件架构为推动ABAC的现实应用奠定了技术基础。