当前社会,信息技术伴随着人类社会的发展而不断发展,而因互联网的出现以及越来越多的网络应用,网络中的安全问题也显得日益重要,而在VPN,防火墙,访问控制等各种安全应用中,安全基础设施的重要性也开始凸显。其中,身份认证以及授权管理是网络安全平台的两大核心内容,电子商务,电子政务,网上银行等应用一方面需要确认使用者的身份,另一方面需要确认使用者的访问权限,即对使用者进行访问控制。自20世纪80年代美国学者提出公钥基础设施(PKI)的概念以来,PKI技术已经成为电子商务,电子政务和企业级网络中不可缺少的安全支撑系统。然而随着网络资源的不断丰富,单纯依赖PKI体制无法满足对资源进行访问控制的需要,为了解决该问题ITU-T在2001年发表了X.509 V4,第一次将PMI标准化。PKI/PMI机制从系统和制度的角度,来考虑整个虚拟社会的安全基础。X.509协议中描述PMI为一种基于PKI并承担权限管理功能的框架。在访问控制方面,强制访问控制和自主访问控制是早期访问控制的两种模型,最近发展起来的基于角色访问控制模型支持角色的层次结构,静态责任分离,最小权限集,通过角色将用户与权限联系起来,大大降低了访问控制的复杂性,是一种灵活有效的安全措施。并且,在X.509 V4中描述的PMI模型,把属性证书作为公钥证书的一种扩展。因此,对属性证书及基于角色的访问控制PMI模型的研究势在必行。本文的研究目的是提出一种可行的基于公钥密码体制及基于角色的访问控制的授权管理体制模型,并且提出该体制的实现机制,从而证明基于RBAC的PMI体制是网络安全基础设施的有效解决方案。20世纪80年代美国学者首先提出了公钥基础设施的概念,后来人们意识到单纯依赖PKI技术无法满足对资源进行访问控制的需要,因此ITU-T在2001年发表了X.509 V4将授权管理体系标准化。2003年,美国国家标准委员会将基于角色的访问控制作为国家信息技术标准公布出来,并得到了业界的广泛认同。2002年,Salford大学的David W Chadwick教授提出了基于角色的PMI体系,An X.509Role-based Privilege Management Infrastructure。关于PMI的理论及标准研究已经比较多,目前国外主要的PMI产品包括Entrust的Secure Transaction Platform,Baltimore Technology的Attribute Certificate Server,IBM公司的Secureway,DASCOM(now IBM)的aznAPIcode等。目前国内也有不少科研企事业单位在开展PMI方面的研究,但是缺少具体的应用。本文主要做了如下工作:文章首先对PKI/PMI技术进行分析研究,并建立一个基于角色的访问控制PMI模型,在这个模型中我们将传统的属性证书分离成属性规范证书和属性分配证书,从而降低属性证书管理的复杂度,并针对这个模型,提出一个切实可行的企业级PMI授权管理系统方案。该方案来源于济南得安科技公司的DAPMI授权管理系统的研发—SRQ22授权管理系统,该系统采用PMI权限管理体系结构,系统使用属性分配证书来标识用户的角色,使用属性规范证书来管理角色的权限,属性证书的结构符合X.509v4标准;基于PKI技术之上的SRQ22授权管理系统可以为互联网,特别是电子政务系统构建一个严密的安全体系,充分保证敏感资源访问的可控性与可审计性。文章主要包括以下内容:首先对PKI的基础理论作了细致介绍,包括PKI基础设施的概念,组成结构,所提供的安全服务,PKI在电子商务,电子政务方面的安全应用等;其次,对PMI体系进行了研究主要包括PMI基础设施的概念,PMI系统的组成结构,PMI的一般模型,代理模型,角色模型,重点对角色模型进行了形式化定义及分析;再次,介绍了访问控制模型,首先对强制访问控制和自主访问控制两种访问控制模型进行了概述并分析了他们在实施授权管理时的缺陷,提出基于角色的访问控制模型,并对RBAC的概念进行了详细的描述,以及RBAC模型中的主要操作进行了形式化定义并对RBAC的安全三原则进行了细致的描述;文章还提出了一种基于RBAC的访问控制模型,对该模型的组织架构,属性证书的数据结构和签发过程,访问控制的认证过程进行了分析;文章最后提出了一个可行的企业级授权管理系统,该系统适用于大型企业的安全管理。作者在攻读硕士期间主要科研工作包括DAPMI SRQ22授权管理系统,企业级证书认证系统V3.0(CSP 3.0)。