Web服务为多个自治域之间的分布式协同工作提供了通用平台。基于Web服务的分布式协同环境由于集成多应用环境工作方式对于Web服务的分配以及访问控制的安全,尤其是授权访问提出了特殊的要求。基于角色的访问控制模型RBAC(Role-Based Access Control)是目前主流的访问控制模型,它比传统的自主访问控制DAC(Discretionary Access Control)和强制访问控制MAC(Mandatory Access Control)更优越,同时也提供了更高的灵活性和可扩展性。目前的RBAC模型在理论上和应用中仍存在着诸多问题,如用户和操作对象都被作为静态对象考虑、会话管理机制给管理员带来操作的复杂性、缺乏对权限和约束的进一步研究等;而分布式协同环境对访问控制有特殊的需求,表现在:自治域与Web服务双层安全控制的统一,针对分布式协同环境集成的Web服务实现信息的统一和个性化服务的结合,以及面向最终用户制定访问控制策略等。针对这些问题,本文提出了一个改进的角色访问控制模型,其实现机制能灵活而有效的保护系统资源,支持统一身份认证与资源授权访问控制,对促进基于Web服务的分布式协同环境系统的发展具有现实意义。论文首先对RBAC访问控制技术与Web服务相关理论及其现有研究成果进行了分析与比较,在此基础上针对基于Web服务的分布式协同环境下的角色访问控制机制的特点,结合统一登录,构建了新的角色访问控制模型DRBAC(Domain Role-Based Access Control),并给出了该模型的形式化描述,同时出于安全的需要,增加了对授权的约束,使角色能跨越系统中下所有的自治域,并在此基础上实现了基于Web的分布式协同系统的角色访问控制机制;然后在模型的应用中,设计并实现了访问控制授权管理模块,包括Axis2消息中间件,访问控制器、身份认证、角色权限管理配置以及基于LDAP目录的用户信息存储等;论文最后对采用该访问控制模型的基于Web服务的分布式协同环境系统进行了测试与分析,实验结果表明了该模型的安全性和可靠性,其实现机制为基于Web服务的分布式协同环境的集成多应用提供了有效的保护。