随着网络技术的不断发展和企业应用系统的增加，企业集成中的“信息孤岛”问题日益严重。传统的应用集成方法复杂、缺乏灵活性，难以适应不断变化的企业需求。目前解决这一问题的较好方法是使用未来主流的软件工程实践方法——面向服务架构 (SOA)。SOA 具有可复用、灵活、易扩展的特点，能够填补业务需求与信息能力之间的鸿沟。 但在 SOA 的应用系统中，由于需要事先灵活的策略，很多情况下需要把服务暴露在外，于是动态开放的Internet环境导致企业的安全需求就凸现出来。安全问题成为SOA实施的第一大阻碍。 设置访问权限的访问控制 (Access Control)作为信息安全的一项重要技术，越来越受到广泛关注和重点研究。基于角色的访问控制模型 (RBAC)是目前主流的访问控制模型，它比传统的自主访问控制 (DAC)和强制访问控制 (MAC)更优越，同时也提供了更高的灵活性和扩展性。 在目前基于角色的访问控制系统中，用户对角色的委任关系是由安全管理员来实施。然而，在。Internet 环境下，完全依赖安全管理员集中式管理，会给管理工作带来很大的困难。基于角色的权限代理技术为在分布式系统中实现RBAC提供了一种有效的手段。权限代理(Delegation)的基本思想是用户将自己的角色代理给其他用户，让接受授权的用户代表发出授权的用户执行某些任务。权限代理技术将权限的集中式管理工作分散实施，使权限的管理更加灵活方便，是近年来访问控制权限研究的一个重点课题。 本文针对SOA 主要的实现难题——安全问题展开讨论，分析了它的特点。在研究了几种现有的权限代理模型的基础上，对 RBDM0 和 RDM2000 模型的相关部分进行扩充，在此基础上给出了一个基于 RBDM0 和 RDM2000 模型的权限代理模型 SBDM (SOA-BasedDelegation Model)，并对SBDM 模型的应用框架设计进行了研究，给出了SBDM 模型基于SOA 的设计实现。本文对权限代理模型的基本原理进行了系统的学习和研究，在 SOA 安全服务的应用研究方面作了大胆的尝试。主要内容包括： (1)研究了RBAC基本模型，从权限代理粒度、代理深度、权限代理及撤销策略等方面，对现有的几种权限代理模型特征进行比较研究，指出了各模型的不同之处及其优缺点。 (2)研究了 SOA 的产生、特点及国内外现状，并介绍了现阶段主流的实现技术 web服务。 (3)在对RBDM0和RDM2000模型扩充的基础上，给出了基于RBDM0和RDM2000模型的权限代理模型SBDM。提出了权限代理先决条件约束，完善了权限代理约束，并描述了约束判定算法、权限代理算法和代理撤销算法，使得代理用户的限定条件更加灵活，权限代理更具安全性。 (4)利用web服务技术，针对SBDM模型的特点，在Axis平台的基础上，给出了模型基于web服务的应用框架设计、模型应用实现的关键技术和方法。相对于普通分布式权限代理模型，基于 SOA 的 SBDM 模型具有更灵活、可复用、易扩展的特点。 本文通过对分布式权限代理模型和SOA的研究，在现有权限代理模型的基础上扩充，得出了一个基于RBDM0和RDM2000模型的权限代理模型SBDM，并结合web服务技术，给出了SBDM基于SOA的设计实现。研究表明，相比RBDM0等现有模型，基于SOA的权限安全模型SBDM更加灵活、更具安全性的，并具有可复用易扩展的特点，为建设基于SOA的安全服务提供参考。