随着网络信息技术飞速发展,互联网已经成为人类社会的重要组成部分。在Internet 之上,一个虚拟的社会正在成熟壮大。网络技术和设施的日臻完善,为这个虚拟社会提供了技术和硬件支撑。随着Internet 的普及,网络应用尤其是电子商务和电子政务开始成为重要的网上活动,网络安全因其在网络应用中的重要性,日益成为一个不容忽视的问题。人们需要在网络中提供和鉴别身份和权限信息,以保证网络交互的安全。然而在网络中的虚拟社会,个人或者机构想要证明自己的身份和权限却并非易事。公钥管理基础设施PKI(Public Key Infrastructure)模仿现实社会中的第三方认证体系成为网上的第三方认证体系。PKI 以公钥证书为载体,较好地解决了网络中的信任问题,并且可以同时记录用户的身份信息和权限信息。然而在PKI 的实际应用过程中,人们发现身份和权限有很多不相同的属性,尤其体现在有效期上。权限由于不同的环境会经常变化,而身份则相对固定。将二者绑定到一个证书上不仅不利于对身份和权限的有效管理,而且证书需要频繁更新,也给签证机关带来很大的工作量。PKI 系统中身份的持久性与用户权限的短暂性之间的矛盾随着网络应用的深入日益显著。2000 年X.509 协议第四版提出的权限管理基础设施PMI(Privilege Management Infrastructure)以PKI 和基于角色的访问控制技术RBAC(Role based Access Control)为主要技术基础,以属性证书为载体,不但解决了PKI 系统中身份持久性与用户权限短暂性之间的根本矛盾,同时也弥补了RBAC 技术缺乏对权限生命周期管理的缺陷。本文对PMI 的模型、原理和体系结构以及X.509 属性证书框架进行了深入分析研究,并在此基础上提出了基于角色授权模型的PMI 原型——MyPMI 的设计与实现方案,MyPMI 以IETF(Internet 工程任务组)发布的RFC(Request For Comment)规范为设计时基本的指导规范,采取基本遵循RFC 规范中提出的标准,最大限度地缩减PMI 的功能,借鉴实验室已有的比较稳定的PKI 和RBAC 的开发成果和经验,最大限度实现代码重用,尽量减少开发强度和开发量的技术路线,实现了PMI 原型的基本功能,为PMI 的研究和实现提供宝贵的经验。