云计算正在突飞猛进的发展,全球销售额前5的软件公司的主要产品中都包含云计算技术。现在Amazon’s EC2和Google’s Google App Engine是典型的云计算服务,它们使用Internet来连接外部用户,把大量的软件和IT基础设施当作一种服务对外提供,它经历了分布处理(Distributed Computing)→并行处理(Parallel Computing)→网格计算(Grid Computing)→云计算(Cloud Computing)的发展过程。虽然大多数企业承认云计算有许多优势,但是他们仍然不愿意将自己的敏感数据或者是关键业务放入云中,这是因为云计算存在着许多安全问题,而正是这些安全问题制约着云计算的发展。云计算虽然有诸多好处,但是仍然有一个障碍阻止用户使用云服务,那就是云中的安全和隐私问题。用户往往对一个不在自己掌控中的环境持怀疑态度,所以不会轻易将自己的敏感数据放入云服务里。在云计算安全上,云服务提供商用于在网络层进行访问控制的实施案例中主要包含以下两种方式：1)基于防火墙的方式,这种方式以IP和访问的端口号为基准来进行权限的验证,但是此方法有明显的局限性和安全隐患。2)基于网关的方式,这种方式一般是由CSP(云服务提供商)来制定访问控制策略,租户的职责是制定策略,然后提交给CSP(云服务提供商)并等待批准。本文的工作主要是：1)实现了一种基于网关的访问控制模型,将传统的基于防火墙的访问控制模型移植到访问控制网关上,以提供更细灵活的访问控制机制,例如对url、用户ID、证书等元素进行访问控制,从而提高访问控制的灵活性。2)将客户和云服务提供商的访问控制策略分开,使得各自的策略对于对方来说都是透明的,降低安全隐患,同时让租户参与云计算的管理,在提高租户管理权限的同时让租户承担一部分安全责任。3)实现了一个针对于公有云应用安全的访问控制网关,并测试其访问控制效果。