随着互联网技术的快速发展和分布式计算能力的不断加强,社会经济、科学和文化的发展使得企业分工更细,动态协作性加强,业务过程也往往是跨企业的组织边界,企业之间的业务相互合作更加频繁,大范围的资源共享成为一种趋势,再加之网络中用户的数目急剧增长,各个网络安全域之间的大规模用户安全互访及大范围内的资源共享成为必须要解决的问题,而跨域鉴别和访问授权是保障这种资源共享的安全性的重要措施之一。目前在网络环境下大多采用用户名-口令的方式实现身份鉴别,用户的身份往往局限在某个企业或者某个网站内部,由于各个企业之间的逻辑处理和业务规则各不相同,访问授权机制的具体实现方式和定义方式各不相同,一个企业的用户需要重新注册申请成为另一个企业下的用户,跨企业的安全访问没有一个通用灵活的方式。在传统的访问控制中,基于角色的访问控制RBAC由于其突出的优点使系统管理员能够根据企业安全政策和部门的不同划分不同的角色以执行特定的任务,因此得到了广泛的应用。然而随着用户数目的膨胀,RBAC模型的角色分配和管理使得角色权限管理工作变得庞大且繁琐。而且不能很好的应用在当前开放网络中的跨域访问中。针对传统访问控制模型在新一代可信互联网环境应用中存在用户角色赋值效率不高、跨域访问控制实现困难等局限性,本文提出了基于属性的通用访问控制模型的方法,该模型对用户、资源、操作和上下文四类对象的属性信息进行统一的描述和处理,简化了传统RBAC及其它访问控制系统复杂的权限判定方式,从而增强了访问控制系统的通用性和灵活性。同时,对于跨域的访问应用了基于属性证书的验证方式并给出了相应的策略评估方案和评估算法,能够针对不同应用域中用户的访问需求动态实施资源管理和访问控制,另外,模型中引入的运行上下文对象机制,使得采用该模型的系统能够针对开放网路环境中的完全匿名用户实施动态的访问控制,进一步提升了该模型对复杂、动态互联网环境的适应能力。本文的研究来源于国家科技支撑计划项目“新一代可信任互联网安全和网络服务”中重庆大学子项目—“基于信任机制的访问控制服务”。项目测试结果显示,基于属性的访问控制方式可以为该项目中的安全组播、安全网络测量以及安全BBS系统提供了信任协商和动态访问控制的支持,并且针对用户不同的访问需求能够动态实施资源管理和访问控制,并具有更好的灵活性和可扩展性。