随着信息时代的来临,网络安全已经是人们日益关注的焦点。公开密钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是有效进行电子政务、电子商务安全实施的基本保障。但随着网络中资源种类越来越多,用户角色越来越复杂,人们迫切需要一种更加细粒度化的访问控制技术。而PKI系统中身份和权限不分离,如果一个人同时兼具多种角色,拥有多个权限,就可能拥有多个身份证书。这样既不利于系统的开发和重用,也不利于系统安全方便的管理。因此,授权管理基础设施PMI应运而生。目前,对PMI技术的研究正成为信息安全领域的热点。其中,授权策略缺乏统一的标准,系统效率不高是研究中遇到的主要问题。 XML作为Web中的另一热点领域正越来越受到人们的关注。XML是一种元语言,具有平台无关性、自描述性等重要特征,正成为网络应用不可或缺的数据表示方式。XML可以根据需要定制,使之符合特定要求。XML加密与签名、XKMS(XML密钥管理规范),SAML(安全性断言标记语言),以及XACML(可扩展访问控制标记语言)等技术的出现大大增强了XML在安全领域内的作用。 本文首先对PMI体系和XML技术做了相关的介绍。然后提出利用XML技术改进属性证书。以XML代替ASN.1方式实现证书的编解码,可以充分利用XML的强大优势,更好的与现有的需求和应用相结合。将XML的数字签名技术应用于属性证书中,由于不仅可以对整个XML文档签名,还可以对文档中的某些元素签名,因此使得属性证书更加轻量、高效。接着本文通过对现有访问控制策略(DAC、MAC和RBAC)的分析,提出了一种基于条件的访问控制策略,这种策略充分融合了上述三种策略的优点,并在此基础上加入时间、地点等通常被忽视的因素,从而使得访问控制粒度更细。同时采用OASIS(结构信息标准化发展组织)最新提出的XACML语言来描述策略,使策略具有标准化的优点,便于系统的扩展及不同应用系统之间的沟通,并具有很好的跨平台性。最后本文对这种改进了的PMI系统进行了整体的设计和部分功能的实现,并在实现过程中提出利用LDAP目录服务器存放证书和策略,利用TLS/SSL协议保障传输中的安全。在文章的最后部分对模型进行了总结,对需要进一步改进和扩展的方面进行了分析。