互联网的发展以及越来越多的网络应用,网络中的安全问题也显得日益重要。人们需要在网络中为用户提供身份鉴别和权限信息,以保证网络交互的安全。目前,PKI已成为电子商务等网络应用中不可缺少的安全支撑系统。它以身份证书为载体,同时记录用户的身份信息和权限信息,提供了身份认证的有效手段,为访问控制在网络系统中的实施奠定了基础。然而在PKI的实际应用过程中,身份持久性与用产权限短暂性之间的矛盾日益显著,因此2000年X.509v4标准提出特权管理基础设施PMI的概念。 PMI分离了X.509标准中PKI的权限管理功能,提供更为严格、方便和高效的访问控制机制,是一种基于PKI系统之上的、实现权限管理的体系。关于PMI系统的研究和开发还处在验证阶段,并没有统一的标准。国内的PMI研究还刚起步,通过对该技术进行研究,开发自己的PMI产品已经刻不容缓。 本文首先对PMI的基本框架和访问控制技术进行了介绍,其中对基于角色访问控制模型进行了深入分析。接着分析了当前较为成功的PMI项目,在此基础上提出了基于RBAC模型的PMI原型设计方案,建立了PMI原型。本文对PMI原型的三大模块包括属性证书管理模块、访问控制模块和系统管理模块的设计和实现进行了详细的描述。 本课题是在我国PMI研究刚起步的背景下完成的,因而对于今后这个领域的研究和应用都具有一定理论价值和实际意义。