本文以校园门户为背景,研究了集成Web应用资源的校园门户的访问控制模型。 在分析了校园门户访问控制需求后,本文将校园门户访问控制模型划分为身份认证和授权管理两部分。身份认证部分由门户的身份认证服务器和Web应用中的身份认证代理合作,实现校园门户的统一身份认证功能。对校园门户原有Web应用和新建Web应用提出两套授权管理方案,可以保留原有Web应用系统的授权功能,对新建的Web应用实现统一授权管理。 统一身份认证(即,单点登录)方式已经得到广泛的应用,其可行性在理论和实际应用中都得到验证。统一授权管理是一个刚刚兴起的课题,它的思想在近几年被提出。它的主要思想是通过集中管理访问控制策略文件,对网络环境中的Web应用实现统一授权管理。这样做不但可以提高Web应用间的互操作性,而且可以避免访问控制策略不同实现方式产生的冲突,增强访问控制策略的复用性和可移植性。 原有访问控制策略实现的方式有,ACL、能力表、授权关系表等,它们的通用性、可移植性都比较差。创建一种通用的访问控制策略语言,成为解决上述问题的关键。XACML(extensible Access Control Markup Language)是一种对访问控制策略和访问控制请求/响应产生过程加以描述的语言,并提供了一系列逻辑算法对整个授权过程进行控制。它具有如下特点：①基于XML能够同时被人和计算机识别②基于主体、资源和环境的细粒度的访问控制策略③策略的重用性。基于这些特点,选择XACML语言作为授权控制和访问控制策略描述的实现方式。 文中对Web应用定义了一个扩展的RBAC访问控制模型,细化了Web应用中角色的划分。这种细粒度的角色划分方式,使基于XACML语言描述的访问控制策略可以被多个Web应用使用。除了对Web应用访问控制模型和策略语言的定义,文中还给出了Web应用访问控制策略文件的查找和管理方式。 校园门户访问控制模型的身份认证功能采用SAML安全断言标记语言实现,对整个认证过程的流程和各阶段的信息格式、传输方式做出了定义和实现。通过在基于Liferay Portal的校园门户中将身份认证和授权管理功能整合,实现了对门户用户访问Web应用的访问控制功能,验证了模型的可行性。本文最后,对研究工作进行了总结,提出了下一步的工作展望。