2.PMl體系架構(gòu)

PMI是屬性證書、屬性權(quán)威、屬性證書庫等部件的集合體，用來實現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。其主要組件包括SOA、AA、ARA、用戶以及證書庫等。

1)信任源點(SOA)

SOA是特權(quán)管理基礎(chǔ)設(shè)施的信任源點，是整個授權(quán)系統(tǒng)最高管理機構(gòu)，相當于PKI系統(tǒng)中的根CA，對整個系統(tǒng)特權(quán)分發(fā)負有最終的責任。SOA的主要職責是授權(quán)策略的管理、應(yīng)用授權(quán)受理、屬性權(quán)威AA的設(shè)立審核及管理等。

2)屬性權(quán)威機構(gòu)(AA)

是特權(quán)管理基礎(chǔ)設(shè)施的核心服務(wù)節(jié)點，是對應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由各應(yīng)用部門管理，SOA授權(quán)給它管理一部分或全部屬性的權(quán)力。AA中心的職責主要包括應(yīng)用授權(quán)受理。可以有多個層次，上級AA可授權(quán)給下級AA，下級可管理的屬性的范圍不能超過上級。

3)屬性注冊權(quán)威機構(gòu)(ARA)

ARA和RA的位置類似，ARA是AA的延伸，主要負責提供屬性證書注冊、審核以及分發(fā)功能。

4)用戶

也稱特權(quán)持有者，指使用屬性證書的終端實體。 5)證書/ACRL庫主要用于發(fā)布PMI用戶的屬性證書以及屬性證書的撤消列表ACRL，以供查詢使用。在PMI和PKI-起建設(shè)時，也可以直接使用PKI的LDAP作為PM珀勺證書/CRL庫。

可以看出，PMI參考PKI體系結(jié)構(gòu)進行設(shè)計，有很多相似的概念，如：

1)數(shù)字簽名公鑰證書的實體被稱為CA，簽名屬性證書的實體被稱為AA;

2) PKI信任源被稱為根CA，而PMI信任源被稱為SOA；

3)CA可以有它們信任的次級CA，次級CA可以代理鑒別和認證，SOA可以將它們的權(quán)利授給次級AA；

4)如果用戶需要廢除其簽名密鑰，則CA將簽發(fā)證書撤銷列表。與之類似，如果用戶需要廢除授權(quán)允許（Au【horizationPenuiss湎s），AA將簽發(fā)一個屙}生證書撤消列表( AC.RL)。