访问控制是保护数据机密性和数据完整性的一种机制，随着信息技术的发展，越来越多的企业把保护信息资产的机密性和完整性作为一项重要的工作来抓。访问控制技术的研究由来已久，人们提出了很多访问控制的机制，包括自主访问控制机制(DAC)、强制访问控制机制(MAC)、访问控制列表(ACL)等等。上世纪八十年代以来，基于角色的访问控制技术逐渐成为研究的热点，通过在用户与访问对象之间引入角色的概念，将权限授予角色而不是用户，减少了授权操作的复杂性，更加符合企业/组织的实际运作状况，增加了访问控制系统的灵活性。　　 建立在公钥基础设施(PKI)基础上的特权管理基础设施(PMI)，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开发与维护，并减少管理成本和复杂性。　　 如何在特权管理基础设施(PMI)的基础上构建一套完整的、可信的访问控制系统?本文面向这个目标对特权管理基础设施(PMI)、基于角色的访问控制(RBAC)技术进行了研究，使用属性证书技术实现了基于角色的访问控制，构造了一套完整的访问控制系统。　　 论文的主要工作如下：　　 1.提出了安全中间件的概念及其架构。安全中间件完成用户的身份认证以及用户访问请求信息的转发，用户身份认证完成之后，安全中间件通过访问控制应用程序接口把用户的subjectDN信息提供给访问决策服务器，由访问决策服务器完成用户角色指派证书的获取、验证，并提取用户角色信息，构成用户主体对象(subject object，即信任状)返回给安全中间件，此时用户的认证过程才算真币完成。　　 2.提出了一种基于角色的访问控制系统的架构。该系统包含了发起者、安全中间件、访问控制决策服务器以及访问目标和证书及策略存储库(LDAP)等组件。外围支撑组件是认证中心(CA)和属性权威(AA)。　　 3.采用XML语言规范化的描述“授权策略”。由于x.509 v4没有规范化的描述“授权策略”和“行为”，本文在实现中采用XML1.0作为授权策略描述语言，采用PERMIS发布的属性证书的策略标准(即数据类型定义DTD)，以信息树(DIT)层次结构存储在LDAP目录服务器中。为了提高系统的效率，我们决定首先把所有的角色规范/许可指派放到一张策略属性证书里，然后将所有的角色指派证书发布到LDAP服务器中，并且采用“拉”模式进行权限验证。　　 4.支持层次型RBAC模型。通过允许将角色和特权以属性的方式放到角色说明属性证书中，支持层次型RBAC模型。在我们的策略属性证书中包含了角色说明属性证书的功能，我们可以通过策略宋描述角色的层次性。