随着网络技术的飞速发展，网络的安全性也变得越来越重要。PKI是解决网络安全问题的技术支持手段。基于X．509标准的传统PKI解决了网络安全中的身份认证、数据保密、数据完整、不可否认问题，但是没有很有效地解决访问控制问题。现有基于SPKI／SDSI的访问控制存在模型不够合理、证书链搜索算法不够高效以及系统实现方案复杂的问题。 基于SPKI／SDSI证书的访问控制模型的证书库存放在资源服务器端或者存放在客户端，存放在资源服务器端，则会加重资源服务器的负担，存放在客户端，则不便于证书库的管理。本文借鉴计算机内存结构缓冲的思想，通过引入证书服务器和客户端证书库，设计了一种基于SPKI／SDSI证书的分布式安全访问控制模型，给出了它的授权过程和工作过程。该模型的证书库管理和证书链搜索方便，系统总体效率高，构建简单，安全强度高。 SPKI／SDSI系统的灵活性是有代价的，其代价在于证书链搜索的复杂性，因此证书链搜索算法的高效实现是系统实现的关键。SPKI／SDSI中证书链搜索算法包含两部分：SPKI／SDSI名字证书缩减闭包计算和基于图的授权证书链搜索。本文研究了名字证书缩减闭包算法，根据算法框架设计了2种基于容器的算法，并对以前一种基于3个哈希表分类的算法进行了改进，得到一种基于2个哈希表分类的算法。该改进减少了哈希值的计算量，提高了计算效率。通过实验对这几种算法进行了比较，结果表明基于2个哈希表分类的算法的时间效率要高于基于3个哈希表分类的算法。本文也给出了证书链重建的方法和提高授权证书链搜索算法效率的途径。 以往基于SPKI／SDSI证书的访问控制系统的实现方案是给Apache服务器添加访问控制模块，给Netscape浏览器添加插件，实现复杂，缺乏可移植性。由于基于Java的多项技术在Web应用方面有很强的优势，所以本文采用基于Java的多项技术，包括Applet、Servlet等，在基于SPKI／SDSI证书分布式安全访问控制模型和证书链搜索算法的基础上，设计和实现了一种基于Web的文件访问控制系统。新方案实现简单，并且有很好的可移植性。