多自治域之间的互操作(例如,虚拟企业和网格系统)带来了更加便捷的资源共享模式,同时也对自治域的安全构成了新的挑战和威胁。一方面,各自治域的安全策略通常在互操作需求出现之前已制定妥当；如何能够既保证自治域的安全,又支持有效的互操作是一个现实的问题。另一方面,互操作的出现,使得自治域的授权不再由资源管理方独自决定,而是依靠多个自治域多个智能体共同决定。于是,自治域的安全将处于一个更加危险的境地。与此同时,互操作环境的动态性和不确定性也使得问题更加严重。为此,提出了一个灵活的安全互操作框架RAR。考虑到基于角色的访问控制模型(Role-based Access Control, RBAC)其重要的理论价值和广泛的实际应用,RAR处理了基于RBAC的互操作问题。RAR延续了现有的安全互操作解决方案：域间角色映射(Inter-Domain Role Mapping, IDRM)机制。RAR的特点在于其灵活可扩展的互操作关系建立机制,高效的域间角色映射解决方案,以及新颖的风险评估过程。互操作环境中,各自治域可随时自由地加入和离开。当有新的自治域加入和新的互操作需求出现时,应能够迅速建立域间互操作关系。另一方面,当自治域离开或者终止互操作关系时,各自治域应能够恢复其安全策略,使其与互操作之前一致。为此,RAR框架中两两自治域之间以对等的方式建立互操作关系；这种方式的优势在于不再依赖第三方实体。而这正是RAR框架灵活性和可扩展性的关键。不难想像,域间角色映射设置上或者执行上的纰漏,将是对自治域的安全巨大的威胁,可导致来自于自治域内外的非法授权和信息泄漏。RAR中生成的域间角色映射充分考虑了自治域的安全性。首先研究了职责分离策略作用下的IDRM问题的复杂度；证明了其简单子例是不可解问题。RAR将IDRM相关问题转换为经典问题处理,例如可满足性(SAT)等问题。过去30余年有大量工作对后者进行了深入的研究,提出了各种实用的求解器,RAR调用其求解器以解答IDRM问题。考虑到互操作需求的多样性,无法保证总是存在合适的角色以用做映射。此时,自治域管理员可能调整RBAC策略以期支持互操作。尽管RBAC已大大减轻了授权管理的负担,要实现预期的调整依旧十分困难。同时,RBAC系统中的任务分配和策略配置纠错等问题最终也可归结为RBAC策略更新问题。然而,由于更新后的状态须满足一定的约束,RBAC策略更新过程一般较为复杂。提出了一个自动化的工具,以协助自治域管理员完成更新任务。使用该工具能够自动检测管理员制定的更新目标是否可满足；且如果可满足,工具将生成参考模型,据此模型,自治域管理员可完成对RBAC策略的修改以达到更新的目的。提出了一套完整的RBAC策略更新方法,研究了其性质、开发了一个基于模型检测技术的原型系统。大量实验证明了该工具的有效性。为适应互操作环境的动态性和不确定性,RAR使用了风险的概念,以监控和管理自治域安全。然而,有效的风险评估不单单依赖于良好的评估算法,评估数据的质量直接影响了评估结果的优劣。就授权而言,评估数据是各自治域维护的授权日志。不幸的是,在互操作环境下,仅仅记录授权决策难以满足需要。观察到授权起源的建模是授权日志质量的关键。将此问题推广到分布式授权领域以及基于逻辑的安全策略库。简言之,资源管理者之外,其他智能体的判断对于授权决策过程起着重要作用。然而,现有的授权逻辑均忽略了这一重要方面。提出了一套表达起源的逻辑,DBT。授权起源信息的表达和推理可以帮助管理员(1)理解和分析当前策略库的状态；(2)防御授权起源相关的一类攻击；(3)以起源信息为导向的快速审计。具体而言,给出了逻辑DBT的公理系统及其正确性和完备性。定义了授权逻辑的概念,研究了其基本性质,并通过实例分析说明了授权起源的一种应用：表达和执行一类新的安全需求。