随着互联网和分布式系统的不断发展,出现了越来越多的组织组成联盟进行协同工作,并伴随出现越来越多的分布式协作系统(Decentralized Collaboration System)。在此系统中协作的实体不再面向熟知群体,而是转而面向陌生用户群体,开发使用环境也不再是集中、封闭、静止的,而是分布、开放、动态的。开放、跨域的网络环境已经成为人们网络活动的必然趋势。如何在进行事务处理、协同工作时保障信息的安全是分布式环境下进行跨域访问急需解决的问题。传统的基于角色的访问控制模型(Role-Based Access Control,RBAC)在封闭的环境下能够发挥其优势,而在开放网络环境下进行协同工作、信息共享时暴露了其劣势,为保障跨域访问下的共享资源的安全,本文提出基于属性的访问控制模型(Attribute-Based Access Control,ABAC),即将实体(主体、客体、环境、动作)用属性进行描述,摆脱了基于身份ID的访问控制所带来的局限性,设计一种两层粒度的访问控制模型。采用XACML(Extensible Access Control Markup Language)标准模型化了ABAC的实施框架,对资源进行粗粒度和细粒度的控制,粗粒度的访问控制以实际应用中的业务流程为参考,采用扁平嵌套结构,细粒度的访问控制则是以实际资源中的内容特性为参考,即内容属性,采用二元组线性结构。将业务流程与实质内容进行分离管理,增加了模型的灵活性和可扩展性,提高访问控制效率。在ABAC的研究上,国内外大多集中在策略模型的建立和ABAC的策略合成与冲突消减上,并没有考虑属性检索和策略检索对评估带来的影响,对属性检索和策略检索一般仍采取传统的检索方式,即属性和策略的穷举遍历查询,大大降低了ABAC的效率,缺乏可用性。本文提出以业务流程建立索引机制,对属性和策略进行类别集中存储,并充分结合缓存机制,优化基于属性的访问控制模型,提高评估检索效率,使其满足商业应用的高业务的吞吐量。最后在创新联盟进行协同创新时应用ABAC模型,设计该应用的整体框架,并对跨域访问和自治域访问的具体流程进行了举例说明,对ABAC模型进行了效率上的验证。