4.應用結構

PMI基于PKI建設，在應用中也和PKI-起為應用程序提供安全支撐，其中PKI可以很好地為應用解決用戶身份認證的問題，而PMI則可以很好地解決應用訪問控制的問題。兩者和應用系統結合的邏輯結構如下圖所示：

　　圖中各部分說明如下：

1)訪問者、目標

訪問者是一個實體（該實體可能是人，也可能是其他計算機實體），它試圖訪問應用系統內的其他目標（資源）。

2)策略

授權策略展示了一個機構在信息安全和授權方面的頂層控制，授權遵循的原則和具體的授權信息。在一個機構的PMI應用中，策略應當包括一個機構將如何將它的人員和數據進行分類組織，這種組織方式必須考慮到具體應用的實際運行環境，如數據的敏感性，人員權限的明確劃分，以及必須和相應人員層次相匹配的管理層次等因素。所以，策略的制定是需要根據具體的應用量身定做的。

策略包含著應用系統中的所有用戶和資源信息以及用戶和信息的組織管理方式；用戶和資源之間的權限關系；保證安全的管理授權約束；保證系統安全的其他約束。一般采用基于角色的訪問控制( Role-Based Access Control，RBAC)。

3)授權檢查

授權檢查，即訪問控制執行點( Access Control Enforcement Function，AEF)，在應用系統中，介于訪問者和目標（資源）之間，用在這里檢查訪問者是否具有適當的訪問目標（資源）的權限。當訪問者申請訪問時，授權檢查點向訪問控制決策點申請授權，并根據授權決策的結果實施決策，即對目標執行訪問或者拒絕訪問。在具體的應用中，授權檢查點可能是應用程序內部中進行訪問控制的一段代碼，也可能是安全的應用服務器（如在We堋艮務器上

增加一個訪問控制插件），或者是進行訪問控制的安全應用網關。

4)訪問控制決策點

訪問控制決策點( Access Control Decision Function，ADF)，接收和評價授權請求，根據具體策略做出不同的決策。它一般并不隨具體的應用變化，是一個通用的處理判斷邏輯。 當接收到一個授權請求時，根據授權的策略，訪問者的安全屬性以及當前條件進行決策，并決策結果返回給應用。對于不同應用的支持是通過解析不同的定制策略來完成的。