PMI与AA简介

PMI 与PKI
PMI（Privilege Management Infrastructure）即授权管理基础设施或称为属性特权机构，它依赖于公共密钥基础设施PKI（Public Key Infrastructure）的支持，任务旨在提供访问控制和特权管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统和管理无关的访问控制机制，并能极大地简化应用中访问控制和权限管理系统的开发与维护。
PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立身份认证系统和属性特权机构。在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由有关部门建立授权源SOA，下设分布式的AA和其它机构。

AA和CA的关系
AA基础设施的服务器和CA基础设施及服务器在逻辑上（在许多情况，物理上）是完全独立的，CA系统有可能在PMI的设立之前就已存在并运行了的。CA没有必要自身成为AA。从逻辑角度看，CA将没有必要负责决定其它实体能否有资格成为AA（例如，通过在身份证书中指定的做法）。AA与CA是协同工作的，属性证书AC（Attribute Certificate）的发放需要公钥证书PKC（Public Key Certificate）的支持，或者说PMI是基于PKI技术和CA基础设施的。

PMI体系
与PKI基础设施类似，PMI基础设施可以是一个树状继承关系的结构，如图1.2所示，由授权源SOA和属性证书权威机构AA（Attribute Authority）组成。属性机构（AA）是一个提供属性证书发行服务且具有签发特权的权威。小型基础设施系统也可以仅仅是一台AA服务器来承担属性证书的发放和管理任务。

AA的管理
AA发行属性证书，并按照国际通用的标准设计，采用非对称签名技术的机制来提供在特权管理基础设施架构（PMI）与属性证书相关的证书生成、公布以及废止等应用管理服务，为各种应用提供有效的安全访问控制手段。通过使用发行的属性证书可以为用户提供信息安全应用的全面服务：
  *访问控制；
  * 特权委派；
  * 任务分配；
  * 权限管理。
AA可分为两类：一类相当于SOA，可发布AA证书；一类则只发属性证书，不能发AA证书。

PMI的建立
   属性证书（AC）是PMI的基本概念，属性证书的签发者被称为属性中心AA。
欲建立PMI的业务应用系统，可在当地信息中心相关人员的协调下，遵循统一的用户属性划分规则，建立属性中心AA。
   主要包括AA 服务器、数据库服务器、目录服务器以及一些扩展的功能部件。