随着互联网和社会的发展,各种组织间的协同工作日益增多。与一般的Web服务和网格计算等工作在多域环境下的系统不同,组织间协作除了对资源共享的需求外,更加重视资源访问的安全性。在这种场合中,每个组织相当于一个域,拥有自身的访问控制策略,此时为了实现资源的共享和域间安全访问,就需要一套规范、安全、易于管理且与各组织内资源访问控制策略一致的全局策略。基于角色的访问控制(RBAC)不仅能够实现传统的MAC和DAC,同时还具有角色层次、最小权限、权限分离等灵活的特性,因此,相对于传统的访问控制策略,RBAC更加适合在多域环境中应用,制定满足域间安全需要的全局策略。本文提出角色映射应该具有关联性、继承类型和方向性三个属性,并根据这三个属性将角色映射分类,使得能够进行更加细粒度的角色映射,增加了策略合成的灵活性;接着,本文提出了安全角色映射的原则——权限降低原则,即角色映射总是应该朝着权限降低的方向进行;接着,基于角色映射分类和权限降低原则,本文提出了一种较为完善的策略合成方法,并分析了全局策略与本地策略的一致性和对于域间策略冲突的解决。与相关方法相比,本文的角色映射方法具有更高的安全性,且在全局策略中引入了更少的新角色和继承关系,具有更好的性能。然后,本文提出了一个RBAC系统的软件架构,其特点是将高层的RBAC策略进行抽象,使其与下层策略语言分离,具有较强的灵活性和可扩展性;在此基础上,本文实现了基于Java的RBAC原型系统。该系统选用XACML策略描述语言描述RBAC策略,实现了RBAC的基本元素、角色层次和权限分离等特性。最后,本文在软件架构中的策略扩展层实现了RBAC策略合成算法,使用策略抽象层提供的接口实现了包括角色权限集计算、权限分离检测、角色分裂、角色映射和全局策略创建等关键算法,并结合具体实例进行分析,验证了方法的正确性和可行性。