2.4.6  特權(quán)管理基礎(chǔ)設(shè)施

用戶在訪問應(yīng)用系統(tǒng)時必須要能控制：訪問者是誰，能訪問哪些資源。這兩項控制檢查措施必須在用戶進入應(yīng)用系統(tǒng)時進行檢查。其中，前一項——“訪問者是誰”對應(yīng)的是用戶的身份認證問題，后一項——“能訪問哪些資源”對應(yīng)的是授權(quán)權(quán)限問題。為了解決這個問題，特權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infras【ructure，PMI）應(yīng)運而生，即提供了一種在多應(yīng)用環(huán)境中的權(quán)限管理和訪問控制機制，將權(quán)限管理和訪問控制從具體應(yīng)用系統(tǒng)中分離出來，使得訪問控制機制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。

1.PMI主要功能

PMI是與應(yīng)用相關(guān)的授權(quán)服務(wù)管理基礎(chǔ)設(shè)施，其主要功有皂包括： 1 )對權(quán)限管理進行了系統(tǒng)的定義和描述；2)系統(tǒng)地建立起對用戶身份到應(yīng)用授權(quán)的映射； 3)支持應(yīng)用訪問控制。

簡單地說，PMI能提供一種相對獨立于應(yīng)用的有效的體系結(jié)構(gòu)，）睜應(yīng)用資源和用戶身份及訪問權(quán)限之l司建立對應(yīng)關(guān)系，支持應(yīng)用權(quán)限的有效管理和訪問控制，以保證用戶臼蘢獲取他們有權(quán)獲取的信息、做有權(quán)限操作。

PMI建立在PKI提供的可信的身份認證服務(wù)的基礎(chǔ)上，采用基于屬性證書(Attribute Cenificate，AC)的授權(quán)模式，為應(yīng)用提供用戶身份到應(yīng)用權(quán)限的映射功有邕。PMI和PI<I之間的主要區(qū)別在于：PMI主要進行授權(quán)管理，證明這個用戶有什么權(quán)限，能干什么，即“你禽旨做佯么”；PKI主要進行身份鑒別，證明用戶身份，即“你是誰”。兩者之間的關(guān)系，通常使用護照和簽證的關(guān)系來表述，護照是身份證明，可以用來唯一標識個人信息；而簽證具有屬性類錯，同一個護照可以有多個國家的簽證，能在指定時間進入對應(yīng)的國家。