Internet的出现和广泛应用使资源共享与访问从封闭、集中管理和相对静态的域内计算环境扩展到开放、分散自治和动态协作的域间计算环境,这种变化导致资源共享与资源访问过程中的特权管理、身份认证和授权决策等授权管理任务面临诸多挑战。作为应对上述挑战的主要安全技术,信任管理采用统一的机制描述和解释安全策略、凭证和主体间的信任关系,为域间授权管理提供了全新的思想和方法,成为现代访问控制领域的研究热点。目前信任管理技术处于发展初期,在理论与实践方面存在若干问题,主要表现为缺乏直观授权模型、特权传播可控制性不强、体系结构支撑力有限、应用集成能力欠缺。为解决这些问题,本文针对传统安全体系结构和现有信任管理系统的局限性,研究面向域间授权管理的体系结构,然后围绕策略描述、委派约束和凭证管理等核心问题进行深入研究和分析,并基于分布计算软件平台StarBus+实现了一个支持域间授权管理的中间件安全服务设施。本文的主要工作具体分为以下五方面:1.针对经典信任管理引擎体系结构的局限,提出一种面向域间资源共享与访问的分布式授权管理服务体系结构Diamant(Distributed inter-domain authorizationmanagement)。Diamant将授权活动划分为管理级和访问级,采用不同的特权模型有针对性的进行管理。Diamant将会话管理、凭证管理、环境评估和具有说明性语义的授权引擎等核心机制引入授权体系结构中,基于策略语言描述域间安全策略。Diamant具有良好的灵活性、可伸缩性、适应性和通用性,能够提供适应域间计算环境安全问题特点的策略描述和策略实施机制。2.提出一种基于委派的分布式授权模型DAM(Distributed AuthorizationModel),采用权威委派和能力委派刻画管理级和访问级授权活动,并基于域边界标记刻画管理域的信任边界。基于无函数确定逻辑程序理论,提出一个基于角色的可扩展授权语言REAL(Role-based Extensible Authorization Language)及满足性检查算法C2A,并结合确定逻辑程序的不动点语义分析了C2A算法关于DAM的一致性和正确性。REAL能够以简洁的规则形式表达Diamant服务的多种授权策略,包括角色授权策略、角色权威委派策略、角色能力委派策略、分布属性策略等适用于域间授权管理的典型策略。3.委派可能导致特权的过度散播,从而影响信息系统的安全性。为充分利用委派机制的灵活性,同时减少委派可能导致的安全隐患,提出一种基于委派树的空间约束模型SCM(Spatial Constraint Model),从委派中介、委派深度和委派目标三个方面控制特权传播,并据此提出受限委派系统模型CAS(Constrained Au-thorization System)。在REAL中扩展CAS模型并提出扩展语言REAL05,以控制管理级和访问级的委派策略中的特权传播。设计了REAL05的满足性检查算法C3A并严格分析了C3A算法关于CAS授权决策公理的可靠性和完备性,从理论上证明了REAL05与CAS的一致性和SCM模型本身的可行性。4.授权决策时凭证的可用性和一致性是提高信息系统可用性和降低安全风险的重要前提。本文提出一种面向REAL的凭证管理框架RCMF,从存储策略和获取策略两个维度构造凭证的分布式管理方法,据此提出凭证分布算法CSA和凭证撤销算法CRA,并设计了会话管理协议SMP以实现会话上下文中凭证的传递和获取。严格证明了CSA与SMP的结合能够确保凭证的完备性,CRA算法则能够有效实现凭证撤销的一致性。分析表明上述凭证管理方法同样适用于REAL05。5.基于上述研究,结合分布计算软件平台StarBus+提供的多种分布计算设施,设计并实现了一种基于中间件的域间安全服务StarDiamant,包括会话管理、凭证管理、环境评估、访问控制等多种安全机制,并基于传输层安全协议SSL实现了通信加密和身份认证。StarDiamant以策略驱动或者透明的方式为应用系统提供安全服务,应用组件无需关注安全问题,有助于授权逻辑与应用逻辑的分离,从而为安全系统集成、安全服务的快速部署提供了具有前景的解决方案。