在信息化时代,人们对于信息共享的要求越来越高,单个域内的资源共享已无法满足用户对资源的需求,跨域资源访问应运而生。单点登录(Single Sign-on, SSO)使得用户只需在跨域资源访问中主动进行一次身份认证,便可以访问其他被授权的所有网络资源,从而避免了用户多次登录和管理多个账户的麻烦,Shibboleth是新一代的单点登录实现方案,为用户跨域访问提供了安全可靠的身份认证机制。访问控制是保障信息资源安全的重要手段,跨域访问对访问控制提出了更高要求。IRBAC2000模型是域间安全互操作的策略框架,它定义了本域角色层次关系与外域角色层次关系之间的关联集,以此将RBAC模型扩展到多域环境,提高了跨域访问的安全性。本文在研究IRBAC2000基本思想的同时,分析了它存在的不足,并针对这些不足主要做了以下工作：首先,分析了导致角色冲突关联和违背静态职责分离原则的根本原因,并对角色的层次关系进行分析,提出了层次关系的序列化方法、角色层次关系比较方法及角色映射集快速获取方法,在此基础上提出了域间冲突关联全局检测算法和域间静态互斥角色全局检测算法,能快速找出有问题的角色关联。其次,为更好地解决IRBAC2000中存在的不足,提出了集中式角色映射访问控制模型(C-IRBAC),本模型应用检测算法来检测关联中存在的问题,定义了私有角色集和私有权限集来避免敏感权限的误授权；构造了域间穿梭规则,避免了因域间穿梭导致的域间角色渗透和角色隐提升；并针对角色变更引起的问题制定了一系列角色变更原则。最后,将C-IRBAC应用到Shibboleth单点登录系统中。对C-IRBAC在Shibboleth单点登录系统中的应用进行了可行性分析,并采用XML对角色集、权限集、角色关系以及角色与权限的对应关系进行统一描述,为Shibboleth单点登录系统提供了统一的访问控制模型,增强了安全性。