什么是属性证书

 属性证书（Attribute Certificate）,属性证书是一种轻量级的数字证书，这种数字证书不包含公钥信息，只包含证书所有人ID、发行证书ID、签名算法、有效期、属性等信息。一般的属性证书的有效期均比较短，这样可以避免公钥证书在处理CRL时的问题。如果属性证书的有效期很短，到了有效期的日期，证书将会自动失效，从而避免了公钥证书在撤消时的种种弊端。属性一般由属性类别和属性值组成，也可以是多个属性类别和属性值的组合。这种证书利用属性来定义每个证书持有者的权限、角色等信息。从而可以解决PKI中所面临的问题，对信任进行一定程度的管理。
 
上面的定义摘自：http://wenwen.soso.com/z/q147337377.htm
 
 
涉及到另外一些知识点，说白了不外乎实际应用需要。最开始是PKI的应用，这个系统中使用数字证书来进行身份认证。该数字证书中既包含了用户的公钥，也包含有用户的身份信息或用户的权限，这些用户与用户相关的信息（公钥不变），在一定的环境下需要频繁的更换，每次更换都要在PKI中进行相应的数字证书撤销和生成新的数字证书，增加了系统的负担。因此，提出了属性证书 ，区别于数字证书，属性证书没有包含用户的公钥，而是保存用户那些除了公钥的某些信息，比如用户信息、用户的权限等等。这样，用户有两个证书，一个是数字证书，证明其身份；一个是属性证书，标明其身份信息和拥有的权限，两个证书绑定在一起的。PKI的负担减少了，提出了PMI（Privilege Management Infrastructure）来管理和维护属性证书 。
 
属性证书的特点 ：
1、身份和权限的分离，适应了互联网应用的特点
2、不同的用户具备不同的访问权限
3、需要分别为用户进行访问授权
4、同一用户的权限信息可能经常发生改变
5、用户的授权方和权限的验证方分离
 
 
这样，从PKI和PMI中来看数字证书（公钥证书）和属性证书：
1、用户的信息合理地分成了两类：
   存放在X.509公钥证书中的基本身份信息
   存放在属性证书中的容易改变的属性信息的
2、两类证书的发放权限可以由不同的部门来管理和执行
3、PKI证明用户是谁，为用户颁发数字证书
4、PMI证明这个用户有什么权限、什么属性，并为用户颁发属性证书
5、PMI更适合于那些基于角色的访问控制领域

 

转自:http://blog.csdn.net/popozhu/article/details/5770164