互联网加快了全球化的步伐,企业也加快了信息化建设的步伐,在信息爆炸的时代,资源共享将进一步得到加强,随之而来的信息安全问题也显得越来越重要,成为当今研究的热点。如何确认和你在互联网上通信的人是谁?如何确保非法的用户无法访问受保护的敏感信息?又如何确保合法的用户能正常的访问资源?这几个问题描述了被国外学者称为信息安全金三角的信息的机密性,完整性,可用性等属性,也就是本文讨论的认证,授权和访问控制的问题。看看过去企业的信息系统平台,不难发现,由于业务系统的认证和授权逻辑被嵌入在系统业务中,加上不同的系统有各自的安全实施策略,导致整个信息平台存在诸多的缺陷:安全性不高,管理混乱,互操作性不好,成本投入高等。公钥基础设施(PKI)是目前网络安全建设的基础与核心,它主要目的是通过自动管理密钥和证书,提供网络在线的身份认证,为用户建立起一个安全可信的网络环境。在此基础上的授权是确保网络安全的又一重要保障,授权基础设施(PMI)正式在PKI上的延伸,PMI通过颁发属性证书的方式为解决了分布式环境下授权问题,为企业的授权提供了新的解决思路。PMI是目前安全领域的研究热点,其标准化工作正在进行中,目前,被实际应用的PMI产品还不多。本文重点讨论了PKI和PMI等基础设计的体系结构和原理,深入研究了X.509v4协议,在此基础上,扩展了PKC身份证书和属性证书;其次深入研究了访问控制框架,建立了适合于本系统的访问控制框架;深入研究了PMI的角色模型,针对传统的RBAC模型的缺陷,提出了GE-RBAC模型,引入私有权限和公有权限解决私有权限问题,采用抽象角色和单继承替代原有的多继承,简化角色层次关系,引入任务的概念弥补RBAC对动态权限的支持不足等等。此外,为提高系统的性能,采取动态缓存和静态缓存相结合的缓存设计;改进了X.509V4中证书撤销方案,提出了更加高效基于哈希链表的证书撤销方案;此外,针对删除操作可能一起的数据不一致的问题,设计了定时日志跟踪自动执行相关更新操作的方案。本文根据PKI在授权管理方面的不足,汲取了PMI在授权管理方面的优势,并结合了时下相当流行的基于角色的访问控制思想设计了一个分布式环境下的统一认证授权系统,该系统能提供在线的身份认证,权限管理和审计等服务,大大简化管理员的工作,增强了业务系统的安全性,方便系统的扩展,能够满足用户对统一安全管理的需求。