随着Web信息系统的大量增加,统一身份认证(单点登录)实现了一次登录授权,多应用访问的用户需求,促进了信息系统间的集成,减少了用户管理的开销,提高了业务效率。但不同自治域中的Web应用之间,用户信息为独立和低共享度的,集中式的访问控制显然不能满足需求。　　 在对跨域身份认证业务和环境特点进行研究之后,论文选取了以WebService中间件架构形式来实现跨域的联合访问控制,不同域的应用独立维护其用户信息,通过中间件交互其它应用的用户信息,实现跨域认证授权。WebService中间件具有平台无关性、信息标准化、系统低耦合等特点,是跨域身份认证比较理想的选择。　　 论文以IRBAC2000模型作为课题的访问控制模型,通过域问角色映射的方法实现了用户的认证授权。对于IRBAC2000模型中的角色映射,文章给出了一种改进的角色映射算法,通过在角色映射过程中施加约束条件,避免了角色映射冲突的出现,论文还给出了角色映射策略生成、同步和动态加载的实现方式。　　 论文使用了绑定SOAP协议的SAML(安全断言标记语言)传输认证断言,并在传输过程中使用了SSL加密。在访问控制授权过程中,论文采用了XACML(extensibleAccessControlMarkupLanguage)作为访问控制授权策略语言,基于主体、资源和环境进行细粒度的访问控制策略描述,并且采用了XACML的标准数据流模型进行授权操作,此外,由于XACML的标准化和可扩展性,针对应用制定的授权策略可以被其它的访问控制系统或升级版本使用。　　 文章实现的联合访问控制系统实例基于Axis2开源框架和J2EE技术设计开发,并在Web系统中得到功能验证。论文还使用测试工具LoadRunner对其进行了性能测试,验证了其可行性和可靠性。　　 最后,论文对课题的研究内容进行了总结,并对下一步的工作进行了展望。