本文描述的PMI，以一个身份鉴别体系(如PKI体系)为基础，采用基于XACML (eXtensible Access Control Markup Language)的访问策略描述，提供统一有效的权限管理机制，采用属性证书建立用户身份到应用授权的映射功能。文章给出了一个基于LDAP（轻量级目录访问协议）的，结合RBAC、XACML和PMI的访问控制系统从策略定制到存储层的实现。这个系统应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。按照树状信息组织模式，实现信息管理和服务接口，适合于进行大量数据的检索；具有可靠的信息备份能力，从而在缩短响应时间的同时，提高了可用性和可靠性。 本文的结构如下：第一章比较了几种不同的访问控制策略，总结了其技术特点，介绍了基于角色的访问控制模型；同时，全面介绍了LDAP目录服务的组成和功能模型。第二章对XACML的体系结构和策略组成做了详尽的描述。第三章阐述了XACML策略的定制过程。第四章以XACML策略的管理为例，描述了在目录服务中的操作细节。最后以分析LDAP服务与XML技术的集成作为全文的总结。