随着Internet的广泛使用以及面向服务的架构(SOA)的出现,电子政务、电子商务和企业门户等应用日益增加,一些商务信息服务只能允许经过授权的用户访问,因此必须采取适当的方式防止这些应用中的非授权的访问。由于面向服务的体系结构具有非常多的优点,例如,非常快速的开发速度、非常低的成本、非常良好的灵活性等等,因此,这种结构正在越来越多的领域得到广泛的应用。然而,由于面向服务的体系结构能够实现耦合度比较低的软件系统,并且能够进行动态的计算,这种体系结构具备这些优点的同时,也带来了安全管理方面的困难。在面向服务的架构的环境下,由于服务的动态性,常见的自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)等传统访问控制机制,已经不能完全满足SOA环境的要求,导致访问控制策略管理非常复杂。在SOA架构下的大的开放分布式系统中,潜在用户非常多,而且存在许多不可预知的用户,因此,基于角色的访问控制模型(RBAC)具有一定的缺陷,不能够灵活处理SOA架构下的开放分布式系统的要求。为了满足面向服务的架构下的访问控制的要求,本文提出了基于属性的访问控制模型(ABAC)和基于角色的访问控制模型(RBAC)结合的一种新型的访问控制模型SOA-ARBAC,简化了授权,也简化了访问控制策略的维护和管理,尤其是方便了SOA架构下的不同组织内的异构属性的访问控制策略的维护和管理。本文首先介绍了研究的背景和意义,然后,介绍了传统的访问控制技术,详细阐述了几种主要的访问控制模型和它们的特点。接着,在分析现有的访问控制模型的缺陷的基础上,提出了一种新的访问控制模型SOA-ARBAC,给出了该模型的系统架构,并介绍了该模型的形式化描述,给出了系统的用例图,设计与实现了系统的各个功能模块,详细阐述了该模型的动态授权过程。将访问控制模型SOA-ARBAC用于中泰阳光客户关系管理系统中,获得了较好的运行效果。实践证明,相对于其它访问控制机制来说,SOA-ARBAC模型拥有更高的灵活性和更细的访问控制粒度,具有动态性,授权简单实用,简化了对于面向服务的架构下的异构属性的授权策略。