随着互联网与分布式计算能力的不断发展,大范围的资源共享成为一种趋势。经济的发展使得企业分工更细,更加注重动态协作,业务过程已经跨越组织边界,涉及相互合作的多个企业组织,企业之间通过网络交换信息与共享更加的频繁。安全性是这些企业或组织不得不十分关注的问题,身份鉴别和访问授权是保障安全性首先要解决的两个问题。目前在网络环境下实现的身份鉴别大多采用用户名口令方式,并且用户身份鉴别往往局限在一个企业内部或者一个网站内部,而且用户名口令方式还存在诸多不安全隐患;访问授权方式多数是采用基于ACL或RBAC的授权机制。然而这些访问授权机制的具体实现方式和定义方式各不相同,并且往往都只能在一个企业内部或者一个网站内部使用。所以要在这样一些企业之间建立合理的能跨域的鉴别与访问授权系统还存在诸多复杂问题需要解决。本文的研究重点是如何解决跨域鉴别与授权的诸多问题,如跨域鉴别时外域用户身份鉴别地址的寻址问题以及跨域授权时域间权限信息传递的互操作性问题,并在此基础上实现了一个能够支持多种访问授权机制进行跨域身份鉴别与授权的系统。针对跨域鉴别问题,本系统采用了更安全的数字证书作为鉴别的凭证,并且引入了跨域中介来辅助被访问的应用系统进行跨域身份鉴别,解决了跨域寻址问题。针对跨域授权的互操作性问题,本系统首次采用了一种主体属性映射的方式,即将用户所在的用户组,所拥有的角色等信息都以用户属性的方式进行映射,完成权限信息的跨域转换和传递;使用中介系统完成用户属性信息域间映射,减轻了各授权域授权系统的压力的同时降低了系统间耦合程度,并且不需要大规模修改各授权域原有系统。为了保障身份鉴别信息与权限信息进行域间交换的安全和便于系统扩展,本系统采用了SAML(Security Assertion Markup Language)技术实现跨域,使用了SAML请求和SAML响应协议完成跨域信息的交互。在跨域身份鉴别和跨域授权过程中,分别使用了SAML认证断言和属性断言技术;对所有SAML请求和响应消息都使用了数字证书进行签名,发挥了数字证书非对称加密技术在保障信息完整性和不可否认性方面的优势。文章最后通过一个跨域鉴别与授权的应用测试对系统的功能进行了验证。