经过三十多年的快速发展和广泛应用，Internet已从传统的简单信息交换网络成长为一种新型的复杂资源共享集成平台。而服务计算以软件服务的形式封装资源，以服务协同来实现资源集成，被认为是适合这—Internet平台的新计算范型。在服务计算应用中，如何约束控制用户对资源的访问以保障这些共享资源的安全性并同时实现资源的效用是必须研究的关键性问题。既有的访问控制技术进展主要着眼于应对“用户复杂、资源简单”的应用背景，通过对用户方复杂性的细粒度管理实现了多种“以用户为中心”的资源保护机制。而在服务计算中，在上述用户方复杂性之外，作为被保护资源的服务亦具有主体性、服务过程的适应性、服务策略的依赖性以及服务应用的协同性等多方面的复杂性。这使得已有访问控制技术难以直接适用于服务计算环境中。针对这个问题，本文通过一组“以服务为中心”的访问控制技术，提供了应对上述诸方面服务复杂性的解决方案，并探讨这一系列技术与原有的“以用户为中心”的访问控制技术相结合的途径，得到了一套较为完整的服务计算环境访问控制模型与机制，主要工作包括： 1.提出从主体间双向关系考察访问控制过程的新视角以刻画了服务计算访问控制不同于传统访问控制的本质特点，在此基础上提出了一个面向服务计算的访问控制基础模型SRBAC。该模型在已有的RBAC模型中引入服务角色这一概念，用于抽象表示服务在组织内所处状态。服务角色的引入使得服务主体可通过能动改变其服务状态决定自身的服务策略，在基础模型层面体现服务主体性特征。在RBAC所提的用户角色层次关系之外，SRBAC中还支持在服务角色间建立层次关系，描述了用户和服务双方面的组织结构，并实现了高效的访问规则管理。 2.提出了一组动态服务策略支持设施以满足服务的环境动态适应性对相应服务 访问控制系统的要求。在SRBAC基础上，将原有的服务到服务角色的简单映射关系扩展为可动态激活的带条件的映射关系，以实现根据环境因素实时调整服务提供规则。这一技术也被用于改造用户到用户角色以及用户角色到服务角色这两类映射，使得原有的直接用户权限调整方式可被细化为用户资质、服务策略以及逻辑访问规则的多级动态调节，从而提供了更为自然和精确的动态访问控制方式。文中还介绍了一种基于路径历史的访问控制方式，以应对基于移动agent实现的服务调用方法中所遇的特殊的资源动态保护需求。 ·提出了一个基于服务联系的分布式授权管理机制以应对服务依赖性特征对授权机制的要求。通过建立服务关联，显式地声明服务间服务提供策略的依赖性，从而支持一类服务策略委托的非集中式授权管理，为开放环境下陌生实体访问授权提供了不同于传统的基于用户间权限传递机制的解决途径。在相应的分布式访问验证算法中，这两种从不同角度出发的开放授权机制被结合起来，实现了一种复合的分布式访问控制。 3.提出了一个应用层授权模型以实现服务协同性所要求的全局性服务保护。该授权模式通过对服务计算应用系统对外所涉及各方间关系的描述，定义了被集成于该应用系统的各个服务实体间的相互访问权限；并通过应用系统内部逻辑结构的细粒度刻画，排除各服务实体之间当前应用无需的服务访问。由于服务主体在协同过程中存在服务提供和服务调用的两面性，该授权模型以对称形式对待服务用户与服务资源，将原有用户协作应用授权模式纳入其中，实现统一授权视图。这一模型对服务计算应用系统中主体间利益关系的波动以及系统本身动态演化特性皆有较好的适应性，可进一步防止服务滥用行为的发生。 4.设计并实现了一个服务计算访问控制原型系统。在ARTEMIS—ARC服务协同支撑平台上对上述访问控制理念进行了设计和实现，包括一个供服务提供方使用的访问控制器和一个供服务集成方使用的协同应用层授权中心。该访问控制器支持带复合分布式访问控制的动态SRBAC模型，它与授权中心一起实现了整个服务计算环境中对用户和服务复杂性进行双重考虑的服务计算访问控制。