近年来,工业控制系统（Industrial Control System,ICS）呈现层次化、异构化、分布式的特点,开放的分布式环境中关于ICS的安全问题不断发生。传统的访问控制技术在互联网安全防护领域已经取得了广泛的应用,但是在ICS多任务协作场景下存在细粒度访问控制力度不足、跨域访问控制安全性不强等问题。论文对工业控制系统访问控制相关属性进行研究,通过对传统访问控制模型进行改进,结合多属性决策、区块链等技术主要对ICS环境下多任务协作过程和跨域数据共享过程中的访问控制方法开展了研究。主要研究工作如下:1.针对ICS在协作环境中存在各种权限转接、权限频繁变动而导致的无法进行细粒度的访问控制等问题,提出了一种基于多属性决策的ICS访问控制模型（Multi Attribute Task-Based Access Control Model,MATRBAC）。该模型首先通过引入多属性决策算法熵权TOPSIS算法对访问控制中环境、资源、任务等多属性因素进行评估分析,动态反应协作过程中任务权限变更的风险值;然后通过分析用户的历史访问记录,提出了一种计算用户信任值的算法来动态调整用户的访问权限;最后实验结果表明,该模型可满足ICS多任务协作环境下的动态授权和细粒度访问控制需求,相较于现有模型具有更好的权限描述能力。2.针对传统ICS跨域访问需要在可信第三方的中心化服务器上进行而导致的信息泄露、存在性能上限、容易遭受攻击等问题,提出了一种基于区块链的ICS跨域访问控制模型。该模型首先利用区块链在安全和去中心化方面的优势,将区块链集成在基于属性的访问控制架构中,并利用区块链进行授权决策,使得跨域访问控制更加公平可信、可验证和去中心化;然后提出了一种通用属性库映射策略,避免了不同域之间的属性直接映射而造成的属性信息泄露;最后利用区块链技术设计了一种去中心化的CP-ABE授权架构（BDCP-ABE）,并将其与XACML标准相结合,有效保护了ICS跨域访问过程中信息的隐私性。实验结果表明,所提方案具有较高的效率和安全性。3.为了证明论文所提出方案的可行性,并减轻管理员的监管负担,基于微服务架构,设计实现了一个面向ICS的权限授权与监管系统。首先将系统进行模块拆分为基于多属性决策的访问控制服务、基于区块链的跨域访问控制服务两个服务;然后使用Spring Cloud来构建微服务系统架构,并对每个服务进行独立部署;最后基于微服务的设计原则,将论文第3、4章所提出的MATRBAC模型和DABAC模型集成到微服务系统架构,对每个服务单独开发测试。测试结果表明,该系统能够实现ICS安全稳定的权限授权与监管,并具有良好的可扩展性。