2.4.6 特权管理基础设施
用户在访问应用系统时必须要能控制:访问者是谁,能访问哪些资源。这两项控制检查措施必须在用户进入应用系统时进行检查。其中,前一项——“访问者是谁”对应的是用户的身份认证问题,后一项——“能访问哪些资源”对应的是授权权限问题。为了解决这个问题,特权管理基础设施(Privilege Management Infras【ructure,PMI)应运而生,即提供了一种在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分离出来,使得访问控制机制和应用系统之间能灵活而方便的结合。
1.PMI主要功能
PMI是与应用相关的授权服务管理基础设施,其主要功有皂包括: 1 )对权限管理进行了系统的定义和描述;2)系统地建立起对用户身份到应用授权的映射; 3)支持应用访问控制。
简单地说,PMI能提供一种相对独立于应用的有效的体系结构,)睁应用资源和用户身份及访问权限之l司建立对应关系,支持应用权限的有效管理和访问控制,以保证用户臼茏获取他们有权获取的信息、做有权限操作。
PMI建立在PKI提供的可信的身份认证服务的基础上,采用基于属性证书(Attribute Cenificate,AC)的授权模式,为应用提供用户身份到应用权限的映射功有邕。PMI和PI<I之间的主要区别在于:PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你禽旨做佯么”;PKI主要进行身份鉴别,证明用户身份,即“你是谁”。两者之间的关系,通常使用护照和签证的关系来表述,护照是身份证明,可以用来唯一标识个人信息;而签证具有属性类错,同一个护照可以有多个国家的签证,能在指定时间进入对应的国家。