信息技术的深入应用与飞速发展,使得信息安全问题日益突出,访问控制和权限管理是系统安全体系中的重要环节。论文针对大型分布式系统中权限管理混乱及开发复用费用高等问题,结合国家发改委高技术产业化项目,面向金融证券等高端行业,研制统一的权限管理基础框架—钱塘权限管理服务中间件(JTangPMI),实现了异构安全模型的融合、权限管理、跨域访问控制、安全审计等常用安全服务,提高信息系统的开发效率,简化企业用户的安全管理负担。论文针对经典RBAC(Role-Based Access Control基于角色的访问控制)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处,提出了支持角色双向继承的约束RBAC模型,通过虚拟角色层次结构及其约束关系,该模型可以增强系统安全访问,并提供更灵活的授权机制;同时针对分布式环境中授权决策通常要考虑不同的上下文环境信息等特点,我们定义了上下文约束来增强模型功能。针对现有PMI(Privilege Management Infrastructure权限管理基础设施)系统对分布式应用及跨域授权管理支持不足等问题,论文提出了改进的分布式PMI框架,该框架基于本文提出的约束RBAC模型,同时设计了基于NACML的JTangPMI授权策略,定义了策略的结构,并研究了基于策略的访问控制流程。文章还对SOD(Separation Of Duty责任分离)约束条件下的授权冲突情况进行详细分析,并给出了相应的冲突检测方法;同时设计了本文的约束RBAC模型的访问控制关键算法。最后,介绍钱塘权限管理服务中间件系统的设计和实现,并在恒生电子证券交易系统中得到了应用验证。