鉴于Internet技术发展的迅猛,为解决其安全问题,世界各国进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI技术。由于网络的动态性、广域性、可扩展性,如何使PKI网络很好地适应网络的这些特点,因此PKI网络的互连成为近些年研究的热点。而扩展组织PKI网络的访问控制方法研究也倍受关注。本文系统的研究了实现扩展组织PKI网络访问控制所涉及的相关理论和技术,以及这些理论和技术的国际、国内研究现状,围绕课题内容展开了相关研究、分析和实验。本文主要创新性成果如下所述:1.各个企业内部使用各自的PKI处理内部事务,然而大多数组织有事业上的伙伴,希望连接组织间的PKI而具有B2B的E商务能力。结合计算机的最新实现技术与理论,设计了一种基于Web服务的、在扩展组织PKI网络中实现对资源进行访问控制的安全访问控制模型,该模型集成了PKI、PMI、RBAC及XML安全性等相关技术,能实现扩展组织PKI网络中的授权和认证,给出了基于Web服务的扩展组织PKI网络中的访问控制机制的结构,并给出了对用户请求的访问控制实现过程与相应的算法。同时为后续开展相关内容的研究奠定了基础。2.PKI是目前保证网络信息安全的主流技术。但是目前国内外PKI产品的互操作性差,应用部署难度高,系统维护缺乏足够的灵活性,这些问题制约了PKI产品的应用。本文在介绍、讨论了Web服务及相关的XML安全技术的基础上,将目前成熟的安全体系结构PKI和Web服务融合起来,给出了一个新的基于XML的Web服务分层安全模型,并对其安全性和特点进行了详细的分析论述。最后给出了该模型中的核心部分——安全服务子层的设计实现,给出了总体结构设计、服务器端的实现、客户端的实现。客户端具有通用性、易用性、轻量级、易维护等特点,有利于PKI的推广应用。3.X.509v4 PMI支持基于角色的访问控制RBAC,利用角色来实现用户与权限的逻辑隔离,这种方式简化了系统的权限管理。然而,在大型系统中,由于角色的复杂性,使得文献中介绍的基于角色的访问控制模型不能满足实际要求。本文给出了一种具有时间约束的基于角色的授权管理模型,该模型对RBAC中权限的定义进行了扩展,使它非常有利于公有权限、部门权限、私有权限的划分与继承,并在权限的继承中加入了时间约束。该方法不仅有利于权限的频繁更新,也对应了现实世界中的岗位数,易于理解与操作。4.提出了一种对等计算中量化交易参与者行为和计算交易参与者信任值来评估交易参与者之间信任关系的基于行为的信任评估模型BBTEM。设计了考虑交易规模时的用户当次行为评价方法。能防止在小规模交易中积累信任值,在大规模交易中进行欺骗的情况。把用户综合评价分为直接经验和推荐经验,并在推荐经验中通过合理设计朋友的计算方法,有效抑制诋毁和协同作弊。考虑了初始信任度的设置,防止信誉恶化的用户选择重新登录来逃脱惩罚等。最后通过算例和实验证明了该模型的具有客观性和一定的通用性。5.基于Web服务的PMI用来对资源进行访问控制。随着要求进行安全事务处理的需求的增加,要求系统提供广泛的Qos的要求也在增加。然而,由于使用的标准协议和数据的打包、拆包,使Web service的性能相对较低。为了改进PMI系统的QoS,特别是改进系统的响应时间,在PMI系统中设计了一种缓存机制。验证用户权限时,需要执行一个频繁的访问AC操作,在这个访问AC的过程中,很多时间花费在网络传输上,有可能造成系统的一个瓶颈。本文通过在PMI中引入AC缓存机制来提高访问AC的效率。设计并实现了该缓存机制,并着重设计了缓存更新算法,设计了一种改进的决策树更新算法,使得在保证了一定的命中率之后,使缓存机制很好地提高了网络环境中PMI的时间响应性能。相关实验证明了这一点。6.在一个开放的系统里,交易双方由于某些原因可能进行欺骗,因此,考虑用户的信任度变得很重要。为进一步提高PMI系统的QoS,在缓存了AC之后,又设计了一个基于RBAC和信任的缓存机制。详细介绍了该缓存机制的实现原理,给出了在缓存中查询角色权限以及在缓存中添加记录的算法,还介绍了缓存的更新策略。研究表明,该手段能有效地缩短系统的响应时间。