随着计算机网络的普及和发展,网络安全越来越成为人们关注的焦点,成为计算机网络领域的亟待解决和发展的重点。为了加强网络安全,世界各国提出了众多解决方案,PKI等安全体系结构成为其中较为完善和成熟的方案。而为了适应网络应用,特别是适应电子商务和电子政务的发展,权限管理和访问控制已经和网络安全紧密结合,为网络应用提供了坚实的基础和保障。而其中基于角色的访问控制(RBAC)是一种方便、安全、高效的访问控制机制,受到普遍关注。本文在分析了RBAC的基本思想和模型之后,介绍了用户角色分配和角色许可分配的基本方法,并给出了如何在本系统的权限管理器中运用RBAC思想实现权限管理的方法,使该系统具有基于角色的权限管理的功能。 PKI是通过使用公共密钥技术和数字证书来确保系统信息安全,负责验证数字证书持有者身份的一种体系。但仅仅做到了认证用户身份不足以满足网络应用,为此,人们在网络权限管理方面又提出了使用属性证书的PMI体系,使权限管理和身份认证紧密结合,拓展了网络应用。本文分析了PKI和PMI的系统组织结构,认识到从PKI向PMI的扩展存在一定的难度,为了将具有PKI功能的系统平稳过渡到PMI系统,本文就提出了一个具有PMI功能的过渡方案,将PKI与RBAC技术相互结合,构建具有角色特性和PKI身份认证的权限管理器。该系统的结构简单,模块分明,实现了大部分信息资源的统一授权,访问控制和权限管理,并利用数字证书和HTTPS协议保证了网络数据的安全传输。该权限管理器可以在原有的PKI系统上实现简单快捷的扩展,使原PKI网站系统能够通过该权限管理器系统过渡到具有PMI属性证书的网站系统。 在PKI系统的应用中需要查询证书状态,而OCSP(Online Certificare Status Protocol,即在线证书状态查询协议)使用户可以实时查询用户的证书状态,实现了证书状态在线验证。但由于证书状态验证存在跨CA的多级验证问题,验证的速度和复杂性导致了OCSP的使用有一定的问题,为此本文在原OCSP在线验证的基础上,提出了快表的概念,利用在应用系统端构建快表系统,将OCSP验证本地化,实现身份的快速验证。PKI+RBAC网络系统与快表系统的结合,使身份认证和权限管理功能基本实现了本地化,为网络系统,特别是网站资源权限管理提供了良好的解决方案。