在现代开放网络环境下,大量分布在不同网络中的信息往往需要被一个多变的、动态的人群使用和管理。为了在应用中安全有效使用这些信息,要求访问信息的用户身份和访问特权必须以一种受信任的方式管理。为了解决这一问题,人们提出了公钥基础设施(PKI)技术和特权管理基础设施(PMI)技术。现在越来越多的企业在应用中采用基于角色的访问控制(RBAC)策略作为访问控制实现的基础。利用建立在PKI基础上的PMI的属性证书对网络资源进行管理。本文系统的介绍了RBAC、前向安全数字签名、属性证书、PMI工作原理,在此基础上,本文给出了一个基于RBAC的PMI系统模型,把属性证书作为管理角色和权限的工具,同时在AA和SOA对属性证书进行签名时,使用了前向安全数字签名的方式,能够把因AA和SOA的私钥泄漏给系统造成的损失减少到最低限度;使用RBAC访问控制方式,引入角色的概念,使用了角色分配证书与角色规范证书,简化了系统的管理,使访问控制的思路更加清晰,权限的分配更加容易,减轻了管理者的负担,使该系统具有通用性及标准性等优点。在权限的验证中,权限的验证者对权限声称者所声称的权限进行验证时,最大的麻烦是在证书库中搜寻相应的证书,由相应的证书搜寻相应的角色、权限和用户,以决定是否对资源有访问权。为加快验证速度,提高系统的性能,我们采用了RBAC模型的缓存机制,大大加快了系统的反应速度。文中还给出了该系统的应用环境以及它所涉及的相关标准。