随着互联网技术和分布式计算能力的不断进步,处在不同授权体系下的系统对共享资源的需求越来越强烈,用户经常需要跨越不同的授权体系来进行资源访问,因此系统之间的安全互操作就变得极其重要。在互操作过程中,系统既是服务的提供者,也是服务的使用者,因此系统在保护本地资源的同时,必须遵守其它系统的安全规则。但是在分布式环境下进行跨域访问时,由于各域中采用的访问控制机制和安全策略都各不一样,使得安全管理面临更为复杂的情况。因此,如何在确保系统安全的同时,为外域用户提供访问控制成为至关重要的问题。本文的研究重点是为了解决在跨域授权中遇到的这些难题。为此本文采用了三种基于映射的跨域授权理论模型：首先在依据前人研究的基础上本文应用一种基于角色映射的跨域授权模型,该模型只能解决RBAC访问控制系统间的安全互操作；本文接着提出了一种基于用户角色(组)交叉映射的跨域授权模型,该模型解决了ACL与RBAC访问控制系统之间的安全互操作；最后本文在上述两种模型的基础上进行抽象,并首次提出了一种基于属性映射的跨域授权理论模型,它可适用于多种基于主题属性授权的访问控制机之间的安全互操作。在本研究的基础上,研究开发了一套支持跨域授权的访问控制系统,首次提出引入跨域授权中介系统、结合上述跨域授权理论模型以及全局身份管理来实现跨域访问控制。本跨域访问控制系统基于J2EE平台,它包括基本访问控制系统和跨域授权中介系统。基本访问控制系统为本域内的资源和服务提供了集中的授权管理和授权服务。跨域授权中介系统是实现跨域访问控制的桥梁,它保存有全局用户和全局属性并负责为各授权域提供属性映射服务。通过跨域授权中介系统可以支持两种方式的跨域授权,一是将各外域用户的属性映射为目标域可以识别的属性,然后进行授权；二是通过跨域授权中介系统中定义的全局用户和全局属性进行跨域授权。