随着信息化建设的不断深入,各政府部门、企事业单位都根据各自的业务需求建立各自的信任域(在同一安全策略管理范围内的域)并开发各自的应用系统。而信息化的发展使得这些单域之间实现信息共享和互操作的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中,跨越单个域的限制,在多个信任域之间实现资源共享和进行安全互操作是非常必要的。本文研究了多信任域认证授权系统的两种模型:网关模式基本模型和分布式基本模型。并分析了IRBAC(Interoperability Role,Based Access Control)2000模型的基本思想、域间动态角色映射策略以及其存在的问题。其不足主要表现在:(1)多信任域间角色映射中违背职责分离原则:(2)没有考虑某一角色加入或退出时,与之关联角色的处理问题;(3)在角色进行域穿梭时,存在角色的渗透和隐提升问题。针对以上不足,本文提出了MTD-IGRBAC(Multiple Trust Domain-InteroperabilityGranular Role Based Access Control)模型,并对MTD-IGRBAC模型中各元素间的关系以及访问控制策略进行了描述。将该模型应用到金华市电力负荷预测系统的安全子系统中,简化了系统的多信任域授权管理,实际应用表明该模型能有效、灵活地实现了多信任域间的安全访问控制。本文的主要研究工作包括:(1)提出了G-RBAC模型,该模型对角色和权限进行粒化,在权限粒和角色粒上引入时间和上下文因素,很好地解决了最小权限原则和职责分离原则。(2)引入信任度的计算模型,解决了在开放环境中的安全访问控制的匿名授权问题,并提高了访问控制中授权管理的灵活性。(3)提出了MTD-IGRBAC模型,该模型基于G-RBAC模型和信任度计算模型。信任度计算和粒逻辑推理的引入,实现了MTD-IGRBAC模型的动态授权,很好地解解决了角色变换(如角色的加入或退出)时与之相关联角色的处理和域穿梭时的角色渗透和隐提升问题,使多信任域间能够进行安全、灵活的协作。