随着电子商务、电子政务的日渐兴盛以及现代军事向电子化、信息化发展的需要,信息的访问控制技术显得越来越重要。人们需要在网络中提供和鉴别身份和权限信息,以保证网络交互的安全。据统计,每年全球因对网络信息的非正常访问而造成的经济损失达数千亿美元,网络安全已成为国家与国防安全的重要组成部分,同时也是国家网络经济发展的关键。对信息访问的检测与控制及整个信息基础设施的安全已经成为刻不容缓的重要课题。曾经广泛应用的传统的使用用户和用户组为标识的访问控制方式,现在看来在显得既简单又呆板,当组织内人员新增或有人离开时,或者某个用户的职能发生变化时,需要进行大量授权更改工作。现在国内外对访问控制的研究大量集中于基于角色的访问控制(RBAC)[9,10,15-20] 或者对PRBAC 应用模型的研究[12,13],而对PRBAC 的应用开发也仅局限于PKI 授权方式的实现[14]。相对于传统的访问控制方式,RBAC 的最大优势在于它只需要对角色进行授权管理从而大大简化了授权管理的难度。但是在电子政务和军事系统等应用中通常会对信息进行更加细致的划分,如对信息进行分级,分为“秘密”,“机密”,“绝密”等安全级别,在形成文档资料时,这些标签会标在每页的页首或页脚。这样才能对信息进行更加严格更加灵活的控制。美国国防部提出了一种基于划分和规则的访问控制技术:PRBAC(Partition Rule Based Access Control)。PRBAC 用安全策略信息文档SPIF(Security Policy Information File)描述安全策略和规则,用X.509 公钥证书携带用户的授权信息,用安全标签(Security Label)表示目标对象的敏感度,通过标准的访问控制决定功能,根据定义的安全策略来比较用户的授权和目标对象的安全标签以决定是否给予访问权限。可以看出PRBAC 对目标对象分级控制的特点非常适用于电子政务和军事等系统中的访问控制需求。但是一个仅使用X.509 公钥证书和PKI 授权方式的PRBAC 会有很多限制和缺陷,例如X.509v4 标准中提出的属性证书的有效期都比较短,采用属性证书就可以避免X.509 公钥证书在处理CRL 时的问题,而仅有PKI 授权方式