随着网络技术的飞速发展,以电子政务、电子商务为代表的基于Internet的各种应用正广泛兴起,网络的开放性与信息的安全性之间的矛盾日益变得突出。人们需要在网络中通过信任与授权服务来保证网络交互的安全。PKI(Public Key Infrastructure,公钥基础设施)以密码学为理论基础,以公钥证书为载体,较好地解决了网络中的信任问题。随着网络应用的深入,人们迫切需要对各种资源如文件、数据等进行访问控制,对用户的权限进行组织与管理。如何在PKI 基础上结合访问控制机制提供授权服务的安全需求已迫在眉睫,权限管理已成为当前网络信息安全面临的巨大挑战。基于角色的授权管理基础设施PMI(Privilege Management Infrastructure)以PKI 技术和RBAC(Role based Access Control,基于角色的访问控制)为基础,以属性证书为载体,弥补了PKI 技术对授权需求的不足和RBAC 技术缺乏对权限生命周期管理的缺陷。本文对X.509 属性证书框架和PMI 的模型与体系结构进行了较深入的分析与评价。基于X.509 协议和PMI 的基本框架,建立了基于角色的授权管理基础设施PMI 模型。在此基础上提出了PMI 原型设计方案,讨论了架构中证书管理、访问控制和策略管理的一些关键问题。最后在参考PKI 系统基础上,实现了一个原型PMI——RB-PMI,并对其性能进行了简单分析。