传统的Web访问控制一般是通过口令,或公钥证书等手段对用户进行身份认证,然后根据服务器端的访问控制列表对用户进行授权.实践证明,传统的访问控制列表方式已经不能满足Web环境中分布的、开放的、和高度动态的需要;而且,公钥证书自身也不能很好的满足Web安全的需要.为了克服传统We6访问控制方式的不足,我们在认真分析了Web环境所具有的特点和要求后,提出了基于KeyNote授权证书的Web访问控制模型,该模型充分利用了KeyNote信任管理系统适合于分布式系统安全的优点,通过KeyNote授权证书实现We6访问权限的授予.KeyNote授权证书将Web访问权限与用户的公钥进行绑定,从而将认证与授权结合在一起,由于使用了数字签名,因而能在网络上安全发布,而且,授权证书采用通用的语言进行权限描述,可以灵活的定制安全策略,能够满足Web访问控制的扩展性的需要.为了实现有效的访问控制,我们提出了一个基于KeyNote授权证书的Web访问控制协议,该协议是一个典型的提问-响应协议,在收到客户端的访问请求时,服务器通过对客户端发出提问,并验证客户端返回的授权证书链,从而决定是否接受用户的访问请求.我们设计并实现了一个Web访问控制原型系统,证明了利用KeyNote授权证书进行Web访问控制的可行性.