在Internet以迅猛势头不断发展的过程中,CERNET(中国教育和科研计算机网)也由初建、成长,并逐渐走向集科研、管理、应用并重发展的成熟阶段。当前校园网上各种管理和业务应用正在逐步扩大,非专业用户的数量也在急剧增长,使用的失误等现象造成的后遗症也越来越明显,从而使校园网的安全管理显得尤为突出。校园网中的应用服务多种多样,用户在访问不同的应用服务时要频繁登陆应用系统,只有用户输入正确的用户名和密码才能被认证系统授予访问权限,这不仅给用户带来了不便,也给校园网的管理带来了不便。因为不同的应用服务各自都有自己的安全措施,这就使管理员在权限管理上的复杂度大大增加。为了解决校园网安全管理中方便性和安全性的矛盾问题,文章从校园网存在的安全需求入手,对基于这个需求而产生的安全认证系统和授权管理,从理论和实践两个方面,进行了较深入的研究和探索。为实现安全认证,文章中对校园网安全认证系统中安全方面存在的问题进行了分析,设计了一套身份认证系统,该系统可与各个应用服务器很好地集成在一起,在保证安全的前提下,用户凭智能卡访问,只需在第一次登录时识别用户指纹,进行身份认证,获取票据。在票据有效期内,用户可访问校园网中所有应用服务,而无需再进行身份认证。整个访问过程中对用户来说都是透明的。在认证系统的设计中,对认证系统的协议流程进行了描述,根据协议流程划分了系统的各个功能模块,并分析了各模块的功能。在认证系统的实现中,为解决用户访问过程中的透明问题,引入客户端代理与服务器端代理来实现。同时使用PKI公钥密码体制实现了用户身份信息的加密传输。为实现授权管理,文章中分析了如何在校园网环境下实施基于角色的访问控制的技术,设计了总体结构和关键实现技术。还对一种扩展型基于角色的访问控制模型进行了较深入的研究,使基于角色的访问控制模型更加完善。