在信息技术飞速发展的今天,无论是企业还是个人都在享受着信息技术带来的便利,但是在信息技术带来便利的同时,随之而来的安全问题也日益突出,信息和网络的安全将变得越来越重要。身份认证、权限和访问控制正是当前信息安全领域研究的两个重要内容,也是该领域的研究热点。如今基于B/S结构的WEB信息系统规模越来越大,业务逻辑越来越复杂,尤其是资源访问者的分布性、随意性和不确定性,使得服务提供者无法事先确定用户的角色特点和访问权限。这类对安全性要求很高的业务系统,身份认证和访问控制是其安全体系中最重要的环节。目前,对用户进行身份认证主要采PKI( Public Key Infrastructure,公钥基础设施)技术,它为服务提供者证明访问用户的身份。而访问控制则采用PMI ( Privilege Management Infrastructure)技术,它是以PKI为基础,以向用户和应用程序提供权限管理和授权服务。基于PMI的访问控制模型在大规模企业应用上越来越受到人们的重视,尤其是结合RBAC的访问控制策略更是如此。本文给出了一个基于角色和属性证书的PMI访问控制模型,该模型身份认证过程采用基于身份证书的PKI技术,利用属性证书来实现用户和权限的关联,非常适合大规模的企业应用,而且可实现更加细粒度的访问控制。