随着越来越多的分布式系统的出现,如P2P系统、跨多个域的计算网格、Web服务组合,软件系统的形态发生了根本性地变化。作为软件系统安全保障的访问控制系统也需要重新的设计和实现。本文针对现有访问控制模型在分布式环境中表现出的不足,以对各种分布式访问控制系统的定性研究为基础,设计并实现了一个分布式访问控制模型,取得了以下重要成果:1.对典型的分布式访问控制系统做了定性研究。首先从权限委派方式、身份鉴别机制、状态信息的维护、决策模型、信任度评估、实现与方案的一致性这6个方面进行了性质分析。然后以这几个指标为依据,对具体的访问控制系统做了量化。基于这些研究对这一方向的研究现状做出了总结,并定下了本文研究工作的目标和基调。2.对分布式系统做了抽象,提出了策略域的概念,并且基于策略域,提出了一个分布式访问控制模型PDAC。对于访问控制策略,文章首次将能力和契约结合在一起使用,能力从客观上反映了节点提供的操作,而对这些操作的约束则由策略域实时地给出。这样,PDAC模型就具备了动态授权的特征。对于决策模型,策略域既可以根据本地信息做出独立决策,也可以联合其他策略域根据全局信息做出合意决策。因此,PDAC模型具备分布决策的特征。另外,PDAC模型支持权限的委派,并且当委派权限的策略域对权限进行修改后,策略域能够记录这种改变,使得我们能够以更加细粒度的方式来管理授权。3.以联想广播为基础,实现了策略域的协同工作模型。使用该模型,策略域可以通过指定状态来选择希望与之协作的其他策略域,也可以通过设置自己的本地状态来获得与其他策略域协作的机会。基于联想广播的协同工作模型能够在一组策略域中动态地定义多个协同子集,满足分布式环境的动态协作要求。以这个协同模型为基础,为PDAC模型制定了服务发现机制和邻域查询机制。4.基于主观逻辑方法,在信任评估中引入不确定性因素,确立了动态信任评估机制。实验结果表明,基于主观逻辑的信任评估能够更好地反映分布式环境的不确定性,对于促进节点间的协作有着积极的作用。考虑到现实世界的信任具有随时间衰减的特征,在信任评估模型中引入了老化机制。信任评估的老化能够客观地反映节点间的信任关系,对节点的行为起到了很好地约束作用。5.结合BAN逻辑和时序逻辑,提出了策略描述语言PDPL,给出了形式化的语法规则和语义解释。进而,以PDAC模型作为形式系统的一个语义模型,定义了形式系统的公理和推理规则。以这些工作为基础,对PDAC模型的握手、委派、协作、决策等性质进行了可靠性论证。总的来说,本文提出的PDAC模型是对访问控制模型的一种新的解决思路,本文的研究成果推动了分布式访问控制模型研究的发展,对构建更加安全可靠的分布式系统具有重要的实践指导意义。