随着计算机技术和互联网的迅猛发展,信息技术的应用逐渐由传统的集中式形态发展到分布式形态,各种分布式计算的形态也在逐渐演变,由传统的分布式系统发展到网格计算,再到最近被广泛关注的云计算,各种基于这些分布式环境的应用使大量的协同工作和信息共享需要在整个互联网范围内实现,因而分布式资源的聚合变得越来越重要。在分布式环境下,用户和资源数量巨大,并且都是动态变化的,访问控制策略是异构的。在这种情况下,多个安全域的资源的聚合以及跨安全域的资源的协同工作需要统一协调各个安全域并构建一致的访问控制策略,并且这种方法还要能适应分布式环境。而传统的访问控制机制都是针对静态环境下的应用而设计的,对分布式环境下大规模、动态的网络应用难以适应,因而面临着巨大的挑战。传统的访问控制模型包括自主访问控制(DAC),强制访问控制(MAC),基于角色的访问控制(RBAC)。它们都是静态的访问控制模型,在进行安全策略的合成时需要先对各安全域的安全策略进行重新定义或重新进行角色映射,这大大增加了系统管理的难度。在大规模分布式环境下,用户和资源数量巨大且是动态变化的,策略是异构的,对安全策略的合成涉及到一个相当大规模的用户角色重新定义和映射,以致于难以完成。基于属性的访问控制(ABAC)是在分布式环境下发展起来的,它能较好地解决分布式环境下的访问控制问题,已成为目前研究分布式访问控制问题的主流。本文研究了传统访问控制模型在解决分布式访问控制问题时的局限性,提出了一种改进的基于属性的访问控制策略合成代数方法来实现访问控制策略的合成。在本文中,访问控制策略由主体、客体、环境、操作四元组构成,采用形式化的方法描述访问控制策略,并引入了一种高效灵活的访问控制策略合成代数算子来实现策略的合成,扩展了访问控制策略的元组,增强了策略合成的语义表达能力和细粒度合成能力,增加了策略合成的灵活性。该方法具有良好的可扩展性,为今后更进一步地研究访问控制策略合成方法奠定了基础。另外,该方法在访问控制策略中将环境属性作为一个独立的元组,体现了在实际的分布式环境下的应用中环境条件对访问控制的关键影响。同时,由于基于属性的访问控制模型支持基于角色的访问控制模型,这种策略合成方法也可以间接支持基于角色的访问控制模型。本文的研究来源于国家自然科学基金项目“基于本体的网格访问控制研究”和重庆大学研究生科技创新基金项目个人项目“网格环境下基于属性的访问控制策略合成研究”。