COM+系统的安全问题

用VB6和COM+做了一个分布式系统，中间服务层写了若干个COM+组件，用户从客户端登录，再调用这些组件的服务。
现在的问题是，怎样作到客户必须登录系统成功后才能调用这些组件服务，因为有恶意的第三者完全可以自己写一些客户端程序，直接调用这些COM+组件。
COM+提供的安全机制是基于所在windows系统的用户和角色的，对登录windows的用户进行COM+组件的访问控制。但它如何实现用户的商业安全逻辑，就比如上面的只有先在应用系统的登录模块登录成功后，才能调用其他COM+服务