随着网格技术的发展,世界上很多大学、公司及研究机构开发了很多的网格平台系统。然而,网格标准还不完善,大多网格平台之间不能顺利的实现互操作;另一方面,随着网格应用逐渐向商业领域扩展,其安全性也越来越受到重视。如何实现网格系统之间安全的互操作就成了需要重点研究的问题。一般来说,网格安全互操作要解决的问题包括身份认证、访问控制和通信安全。相比较而言,访问控制的研究比身份认证和通信安全更不成熟,是当前网格安全互操作中待解决的重点和难点问题。传统的访问控制模型可以直接应用于网格安全互操作中,即基于用户的访问控制和基于角色的访问控制。但这两种方式都将极大地加重授权管理员的负担以及系统本身的开销,而且不利于更新和维护。因此,系统采用了一种基于角色映射的访问控制机制,依据角色映射模型选择代理授权角色,从而实现网格安全互操作的访问控制,这种模型比传统的访问控制模型效率更高,并且有更好的灵活性和扩展性。基于角色映射的访问控制模型,分别实现了基于portal的安全互操作访问控制系统和直接安全互操作访问控制系统用于CGSP(ChinaGrid Support Platform)和VEGA两大网格平台系统之间安全的互操作。基于portal的安全互操作访问控制系统主要包括用户角色获取、角色映射以及代理用户绑定等模块;而直接安全互操作访问控制系统包括角色获取、角色映射、访问控制表生成、服务地址转化以及访问控制实施等模块。在基于portal的方案中,不同级别的用户在访问CGSP或VEGA时可以选定相应系统不同的代理用户;在直接互操作方案中,登录在CGSP上的不同角色的用户具有对VEGA服务不同的访问权限,并且这些权限取决于VEGA的授权策略。VEGA授权策略管理员对相应服务权限的增加、删除、更新等操作,CGSP中相应的角色权限也发生了改变,从而实现了互操作的访问控制。通过系统测试分析,随着系统用户数、角色数以及服务数的增加,基于角色映射的访问控制机制将极大地减少系统的授权信息数,从而减轻了授权管理员的负担和系统本身的开销,并能够实现CGSP和VEGA之间的安全互操作。