随着电子商务、电子政务应用的不断深入,信息安全显得越来越重要。身份认证和访问控制技术是信息安全领域的一个重要分支。跨域认证的实现使不同信任域之间的互联、互通、互操作成为可能。本文在认证和访问控制理论方面进行深入研究并取得了如下成果：(1)对跨域通用模型进行了研究,基于该模型提出了支持多模式应用的跨域认证方案。该方案基于PKI和PMI,服务端以中间件的方式实现认证、鉴权、审计功能,引进了SAML交换认证和鉴权信息。客户端则采用安全cookie、共享内存与ticket技术实现跨域单点登录。该方案解决了以往的单点登录方案仅支持C/S模式或B/S模式,不能很好的支持多模式混合应用的情况。该方案具有更高的安全性,更为全面的解决多模式应用的单点登录问题,因而具有广泛的应用前景。(2)为了满足撤销频繁、因网络环境而动态变化的认证需求,提出了认证系统通用的撤销方案。该方案基于公钥密码体制和安全动态累积函数有效的实现节点加入、撤销,并支持跨域认证。该方案可实现身份认证、密钥协商和密钥更新,具有实体认证、前向安全性等安全属性。与以往的方案相比,本解决方案更为通用的解决了撤销方面的性能、安全性、实用性等问题。(3)提出了一个跨域端到端的口令认证密钥交换协议(Client-to-Client Password-Authenticated Key Exchange, C2C-PAKE),可实现不同域的两个客户端通过不同的口令协商出共享的会话密钥。以往的方案大多数在Byun2007的C2C-PAKE协议基础上做的分析改进。最近,Feng等和刘等分别提出了基于公钥的C2C-PAKE协议的改进方案。通过协议分析,本文发现以上方案均存在未知密钥共享攻击、服务器恶意攻击等漏洞,并对此作了改进。(4)提出了统一资源访问控制系统的实现方案。本系统采用灵活的分级体系结构设计,理论上支持不限制级别的体系架构。系统由不同层级的认证系统、授权系统和访问控制系统的模块和关键子系统组成。该系统使用属性证书实现了基于角色的访问控制,对用户的登录采用集中的身份认证和单点登录技术,能兼容不同的认证方式和认证设备。针对不同应用,采用相应的访问控制技术。为方便使用,提出了透明代理网关的访问控制方式。采用透明代理网关的访问控制的方式无需在受保护的服务器(或应用系统)和用户客户端上安装相应的代理／插件,即可实现对资源的访问控制。系统采用分级的授权管理,提供分布式、集中式等灵活的授权管理模式,对外提供标准的认证、授权与审计接口,实现对认证硬件产品的选择无关性。本系统的设计方案能很好的满足资源访问控制的需求,并得到了广泛的应用。