随着因特网及其相关技术的发展,分布式的各组织、单位之间的合作已成为一种现实。在这种分布式多域合作环境中,访问控制问题是各合作组织最为关心的一个问题——如何促成资源共享和交换达到最优,同时避免未经授权的访问和有价值信息的损坏。访问控制在这种分布式多域环境中是一个很具挑战性的问题,因为新的环境提出了新的需求。基于角色的访问控制(RBAC)是一种适应于单域非合作环境的访问控制模型。随着RBAC的广泛应用,最近大量研究通过在RBAC的基础上引入角色映射来达到合作。这种角色映射方法引入了很多难题,比如:安全冲突,粗糙用户角色分配,访问权限泄漏,合作依赖等。目前研究主要只注重如何达成安全合作,即如何解决安全冲突问题,对其它问题还并未涉及。本论文从两个方面来探讨分布式多域合作环境中的访问控制问题。首先,在角色映射方法中,提出了一种适合分布式多域合作环境特点的方法来解决角色继承冲突问题。该方法采用一种不断解决两个域之间角色继承冲突问题这种迭代的方式来求解,将两域中的角色继承冲突问题转化成二分图中的最小点覆盖问题,并最终转化成流网络中的最小割问题。该方法利用了现实的合作中权限一般不跨域传递这一特点,不仅能获得更好近似解,而且只需要多项式复杂度的求解时间。其次,本文提出了一个新的访问控制模型RBAC-DC。和角色映射方法使用角色映射来达成合作不同的是,RBAC-DC通过这样一种方式来达成合作:服务提供域向服务请求域提供角色、这些角色的权限、这些角色的用户角色分配权限;服务请求域进行用户角色分配。除此之外,RBAC-DC还禁止访问权限跨域传递。RBAC-DC模型不仅避免了角色映射方法中的安全冲突问题,还避免了访问权限泄漏、合作依赖等其它问题,满足了分布式多域合作环境对访问控制提出的新需求。另外,和角色映射方法相比RBAC-DC还具有其它一些优点,比如最大化合作以及更多的控制能力。