计算机网络可以有效地实现资源共享，但资源共享和信息安全是一对矛盾。随着资源共享的进一步加强，随之而来的信息安全问题也日益突出。传统的访问控制应用中，没有统一的身份认证和访问控制机制，各应用系统通过各自一套用户名和口令来进行认证。对权限的控制是每个应用系统分别进行的，不同的应用系统分别针对保护的资源进行权限的管理和控制。对于这种以用户名+口令的保护方式，可以通过对网络上信息的监听等手段来得到用户名及口令。对不同的应用系统分别针对保护的资源进行权限的管理和控制的方式，会造成权限管理混乱，并带来不安全因素。 MIT提出的Kerberos的方案，在基于传统密钥的基础上，实现了统一的身份认证及授权。具有效率高，单点登录等优点。但这种身份认证及授权的统一实现，不利于扩展；同时在授权的粒度上Kerberos方案只能控制到对应用服务器的访问控制上，对应用服务器上的内容无法实现细粒度的访问控制。 ITU提出的X．509V4标准中，提出了基于PKI(公钥基础设施)的PMI(权限管理基础设施)，通过公钥证书实现用户的身份认证；通过属性证书的管理实现用户权限的统一管理。这种基于PKI建立的PMI，建设成本高，管理复杂，同时公钥体制还存在着运算效率低等特点，并不适用于中小企业的信息化建设。 针对当前应用的多样性和扩展性，以上几种框架都在某种程度上不能满足安全和应用需求。本文提出了以传统密钥为基础，基于KDC(密钥分发中心)和PMI的一种访问控制框架，实现统一的身份认证与密钥分发、授权与访问控制。通过KDC实现用户基于密钥共享的身份认证，通过对用户的属性证书的管理实现用户的授权访问，可以方便灵活地实现网络资源的安全访问控制。并给出了在此安全框架下的基于WEB的CRM应用。