访问控制技术作为支撑信息系统安全的重要技术之一,广泛应用于操作系统、数据库以及各种应用系统的安全防护之中。随着计算机网络、分布式等技术的发展,尤其是Web服务技术的成熟和广泛应用,传统访问控制技术由于约束条件配置管理以及授权方式的局限性,使得在复杂的会话管理和综合化授权控制方面面临许多不足,不能很好的处理许多新的安全挑战,如规模性、灵活性和互操作性等。本课题研究了Web服务安全技术,深入分析传统访问控制模型及其不足,探讨了低耦合PBAC访问控制模型及其实现模型。论文首先介绍了Web服务技术及其对安全性访问控制的需求,讨论了Web服务面临的安全威胁,研究了Web服务技术中的安全模型和安全规范。然后在分析传统访问控制模型的基础上,提出了低耦合PBAC访问控制模型。重点对低耦合PBAC访问控制模型的描述和实现进行了详细的分析研究,主要包括:1)低耦合PBAC访问控制模型的形式化描述。该模型取消了对会话主体的权限配置,通过建立统一的、与访问控制授权相关的安全属性描述和访问控制策略,实现对会话请求的全面约束和管理。为了提高访问控制策略的灵活性和多策略支持能力,论文引入了策略规则、规则组合方法和策略组合方法,制定了独立的策略描述、策略应用和策略管理机制。分析了模型中实体要素间的逻辑关系。2)访问控制策略的可用性描述。从策略的灵活性、可用性和描述的一致性出发,论文采用XML语言描述模型中的相关要素,包括会话实体、行为、条件等,给出了策略规则、策略以及策略附件的描述方法。利用XML Schema实现元策略描述,建立了访问控制策略的内部逻辑关系,规范了策略的统一描述。3)低耦合PBAC访问控制模型的实现。论文在分析了通用访问控制框架GFAC的基础上,设计了一种易于扩展的低耦合PBAC访问控制模型的实现模型GFPBAC,并给出了模型的实现过程。此外,本文还详细讨论了WCF技术及其授权技术,给出了在WCF开发的Web服务中,实现了GFPBAC访问控制模型的原型测试,验证了低耦合PBAC访问控制模型的灵活性、扩展性和多策略支持能力。