网格技术将分布的资源集合并有效的利用，它为用户提供了访问、使用和控制分布在不同域的异构资源的能力，同时也为网格安全带来新的问题。认证和授权机制是网格安全的基础，它们相辅相成，认证是系统确认用户身份的机制，而授权则依赖于安全认证来确保用户得到他们所需的资源。　　 本文的研究目标是解决网格环境下用户身份认证以及资源访问授权模型的研究和实现问题。　　 本文首先分析和比较了各种用户认证系统，然后针对网格环境的特点，结合GSI安全框架，设计和实现了基于X.509证书的统一身份认证模型。网格用户的身份通过X.509证书来标识，而证书是由科学数据网格的CA来颁发，用户在认证过程中使用此证书作为全局统一身份标识。当用户访问网格资源时，首先生成临时的代理证书，该代理证书由用户证书相对应的私钥来签发的，这样应用程序就用代理证书来代表用户访问资源，实现了单点登录功能。　　 在身份认证的基础上，本文分析了当前网格环境下主流授权框架的利弊，然后选择RFC2904提出的基本授权模型之一的“拉”模型，并以Shibboleth框架为核心，使用SAML规范作为交换认证和授权信息的语言，设计和实现基于属性的网格授权模型。　　 身份认证是访问授权的基础和前提，访问授权是身份认证的目的，本文的主要成果在于将两者结合起来就形成了一个满足网格环境需求的较完整的认证、授权的访问控制体系结构。本文提出的网格环境下的身认证和授权模型具有很好的创新性、可靠性、安全性、可扩展性和可维护性，并应用于实践，它会随着应用需求的发展进一步扩充。