2.PMl體系架構(gòu)

PMI是屬性證書、屬性權(quán)威、屬性證書庫(kù)等部件的集合體，用來(lái)實(shí)現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。其主要組件包括SOA、AA、ARA、用戶以及證書庫(kù)等。

1)信任源點(diǎn)(SOA)

SOA是特權(quán)管理基礎(chǔ)設(shè)施的信任源點(diǎn)，是整個(gè)授權(quán)系統(tǒng)最高管理機(jī)構(gòu)，相當(dāng)于PKI系統(tǒng)中的根CA，對(duì)整個(gè)系統(tǒng)特權(quán)分發(fā)負(fù)有最終的責(zé)任。SOA的主要職責(zé)是授權(quán)策略的管理、應(yīng)用授權(quán)受理、屬性權(quán)威AA的設(shè)立審核及管理等。

2)屬性權(quán)威機(jī)構(gòu)(AA)

是特權(quán)管理基礎(chǔ)設(shè)施的核心服務(wù)節(jié)點(diǎn)，是對(duì)應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由各應(yīng)用部門管理，SOA授權(quán)給它管理一部分或全部屬性的權(quán)力。AA中心的職責(zé)主要包括應(yīng)用授權(quán)受理。可以有多個(gè)層次，上級(jí)AA可授權(quán)給下級(jí)AA，下級(jí)可管理的屬性的范圍不能超過(guò)上級(jí)。

3)屬性注冊(cè)權(quán)威機(jī)構(gòu)(ARA)

ARA和RA的位置類似，ARA是AA的延伸，主要負(fù)責(zé)提供屬性證書注冊(cè)、審核以及分發(fā)功能。

4)用戶

也稱特權(quán)持有者，指使用屬性證書的終端實(shí)體。 5)證書/ACRL庫(kù)主要用于發(fā)布PMI用戶的屬性證書以及屬性證書的撤消列表ACRL，以供查詢使用。在PMI和PKI-起建設(shè)時(shí)，也可以直接使用PKI的LDAP作為PM珀勺證書/CRL庫(kù)。

可以看出，PMI參考PKI體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，有很多相似的概念，如：

1)數(shù)字簽名公鑰證書的實(shí)體被稱為CA，簽名屬性證書的實(shí)體被稱為AA;

2) PKI信任源被稱為根CA，而PMI信任源被稱為SOA；

3)CA可以有它們信任的次級(jí)CA，次級(jí)CA可以代理鑒別和認(rèn)證，SOA可以將它們的權(quán)利授給次級(jí)AA；

4)如果用戶需要廢除其簽名密鑰，則CA將簽發(fā)證書撤銷列表。與之類似，如果用戶需要廢除授權(quán)允許（Au【horizationPenuiss湎s），AA將簽發(fā)一個(gè)屙}生證書撤消列表( AC.RL)。