科研资源共享计划(e-Science)是一个全球性的计划,旨在实现各个科研领域的合作,使用云计算的思想来解决e-Science上的资源共享问题越来越受到重视。在e-Science平台上,存在着不同的学术科研领域以及同一个领域不同研究点的科研团队,将这些科研机构或者团队作为不同层次的租户,他们之间科研合作或者独立研究理解为租户之间的资源共享和隔离。设计合适的访问控制模型和策略实现e-Science云平台上的科研资源共享以及科研合作,同时维护各自学术隐私,具有十分重要的意义;而目前云环境中的访问控制模型,很少考虑到层次租户内部自治和租户协同等问题。针对e-Science云平台上层次化租户间的科研资源共享以及科研合作,设计出子租户协同访问控制模型STCAC(Sub-Tenancy Collaborative Access Control Model),该模型相对于云环境下的常用的访问控制模型而言,重点考虑了层次化租户之间的资源共享以及租户协同问题:采用自治域树模型(TMS-ARBAC)描述租户之间的自治,隔离以及层次关系,实现不同层次租户之间的资源共享,借鉴基于任务—角色的访问控制方法解决租户之间协同工作时动态任务的权限管理问题。设计云端第三方访问控制中心,采用松耦合的方式,将e-Science平台上的访问控制需求转变为第三方访问控制中心的安全访问控制策略,并设计分布式的系统结构来应对e-Science云平台上高并发的资源访问控制请求,并给出基于租户资源共享的访问控制数据的负载均衡策略,减少由于租户资源共享引起的跨节点的访问控制,提高系统的效率。最后,实现访问控制系统的原型,并进行功能和性能测试。结果表明,该访问控制系统能够实现e-Science云平台上层次租户之间的资源共享与隔离,并支持跨租户的协同工作,针对数以千计的租户和资源的访问控制数据,使用相应的负载均衡策略进行调度,实现了系统上的各个节点的访问量的负载平衡,同时减少了跨节点的访问控制次数,提高了效率。