随着计算机网络向社会各个领域的渗透,对网络安全的研究越来越受到研究人员的重视,其中基于策略的安全管理是研究的热点问题之一。作为基于策略安全管理系统核心之一的安全策略描述语言,至今没有一种业界通用的标准。因此,研究一种通用的安全策略描述语言规范,并以此为基础研究基于策略安全管理系统的实际应用,对网络安全研究的发展具有重要的现实意义。通过对现有的基于策略安全管理关键技术的分析,结合安全策略描述语言的要求和可扩展标记语言XML(Extensible Markup Language)语言的优点,提出了一套基于XML的安全策略描述语言规范XBPL(XML-Based Policy description Language)。以策略的可用性、灵活性以及描述的一致性为原则,设计了XBPL的总体结构,定义了其基本元素,详细阐述了授权策略、职责策略和认证策略三种基础安全策略以及组、角色和关联三种复合策略的功能和语法,并讨论了策略执行过程中的异常处理。在XBPL详细定义的基础上,通过分析网上阅卷系统的业务流程和安全需求,将基于策略的安全管理技术和XBPL引入网上阅卷系统的安全管理中。设计了一个分域管理的多层次分布式安全架构,有效提高了安全子系统的动态调整能力。基于这种安全架构,使用XBPL对系统中各实体及其相关的安全要求进行了描述,使用授权策略实现了安全访问控制,使用职责策略实现了用户责任定义,使用认证策略实现了用户身份认证。XBPL在网上阅卷系统中的实际应用表明,基于策略的安全管理技术能够很好地满足网上阅卷系统的安全需求,除了能够保证系统运行的安全性,还具备了良好的灵活性,具有很好的推广价值。