伴随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化发展的大趋势。企业内部网是企业信息化的重要组成部分，其安全性也受到越来越多的重视。PKI即公钥基础设施，定义了公钥证书，可以从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但公钥证书只提供身份证明，对持有证书的用户的权限管理只提供了有限的功能。PMI即权限管理基础设施，定义了属性证书，提供了一种解决授权、基于角色的控制以及授权代理等应用需求的有效途径，可以用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。PKI和PMI的结合，提供了身份认证、通信安全(信息加密，信息完整性，抗抵赖性等)、权限管理的完整解决方案，对于行业或大型组织的应用具有良好的支持。 使用公钥证书认证身份的应用越来越广，在中小型组织基于B／S的应用中，如果同时布署PKI和PMI，代价太大。由于此类应用的权限管理并不复杂，可以直接将授权信息放在公钥证书的扩展项中而省略PMI。同样可以做到对用户进行身份认证，及取得用户的授权信息，配以访问控制机制，控制对资源的合理访问。主要包括以下方面： 使用PKI体系认证用户身份。用户使用公钥证书证明身份，CA向用户颁发扩展选项中含有角色定义的证书，以角色表达用户的权限。 策略中心。对需要控制的资源制定合理的访问控制策略。策略表达式以XML节点形式存储。资源，角色和方法组成的三元组为XML文件的一个节点。RBAC中的角色概念充当了用户和访问权限之间的桥梁，通过对角色的授权来控制用户对系统资源的访问权限。 集中的访问控制机制。访问控制中间件获取用户对受控资源的每个请求，并根据用户身份信息及角色和访问控制策略表达式，判断对请求资源有无访问权。任何一个访问资源的请求都要经过该访问控制机制。 PKI安全支撑平台可以在组织内部部署，也可以在外部实现，由多个组织共用一个根CA是可行的。两种部署方式下，或者根据各组织不同的实际需要，PKI体系所包含的模块功能有所不同。 本方案对小型应用中的身份认证和权限管理普遍适用，并提出了一个通用的模型，依据该模型实现了基于B／S的具体应用。