2.PMl體系架構

PMI是屬性證書、屬性權威、屬性證書庫等部件的集合體，用來實現權限和屬性證書的產生、管理、存儲、分發和撤銷等功能。其主要組件包括SOA、AA、ARA、用戶以及證書庫等。

1)信任源點(SOA)

SOA是特權管理基礎設施的信任源點，是整個授權系統最高管理機構，相當于PKI系統中的根CA，對整個系統特權分發負有最終的責任。SOA的主要職責是授權策略的管理、應用授權受理、屬性權威AA的設立審核及管理等。

2)屬性權威機構(AA)

是特權管理基礎設施的核心服務節點，是對應于具體應用系統的授權管理分系統，由各應用部門管理，SOA授權給它管理一部分或全部屬性的權力。AA中心的職責主要包括應用授權受理。可以有多個層次，上級AA可授權給下級AA，下級可管理的屬性的范圍不能超過上級。

3)屬性注冊權威機構(ARA)

ARA和RA的位置類似，ARA是AA的延伸，主要負責提供屬性證書注冊、審核以及分發功能。

4)用戶

也稱特權持有者，指使用屬性證書的終端實體。 5)證書/ACRL庫主要用于發布PMI用戶的屬性證書以及屬性證書的撤消列表ACRL，以供查詢使用。在PMI和PKI-起建設時，也可以直接使用PKI的LDAP作為PM珀勺證書/CRL庫。

可以看出，PMI參考PKI體系結構進行設計，有很多相似的概念，如：

1)數字簽名公鑰證書的實體被稱為CA，簽名屬性證書的實體被稱為AA;

2) PKI信任源被稱為根CA，而PMI信任源被稱為SOA；

3)CA可以有它們信任的次級CA，次級CA可以代理鑒別和認證，SOA可以將它們的權利授給次級AA；

4)如果用戶需要廢除其簽名密鑰，則CA將簽發證書撤銷列表。與之類似，如果用戶需要廢除授權允許（Au【horizationPenuiss湎s），AA將簽發一個屙}生證書撤消列表( AC.RL)。