2.PMl体系架构
PMI是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。其主要组件包括SOA、AA、ARA、用户以及证书库等。
1)信任源点(SOA)
SOA是特权管理基础设施的信任源点,是整个授权系统最高管理机构,相当于PKI系统中的根CA,对整个系统特权分发负有最终的责任。SOA的主要职责是授权策略的管理、应用授权受理、属性权威AA的设立审核及管理等。
2)属性权威机构(AA)
是特权管理基础设施的核心服务节点,是对应于具体应用系统的授权管理分系统,由各应用部门管理,SOA授权给它管理一部分或全部属性的权力。AA中心的职责主要包括应用授权受理。可以有多个层次,上级AA可授权给下级AA,下级可管理的属性的范围不能超过上级。
3)属性注册权威机构(ARA)
ARA和RA的位置类似,ARA是AA的延伸,主要负责提供属性证书注册、审核以及分发功能。
4)用户
也称特权持有者,指使用属性证书的终端实体。 5)证书/ACRL库主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL,以供查询使用。在PMI和PKI-起建设时,也可以直接使用PKI的LDAP作为PM珀勺证书/CRL库。
可以看出,PMI参考PKI体系结构进行设计,有很多相似的概念,如:
1)数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA;
2) PKI信任源被称为根CA,而PMI信任源被称为SOA;
3)CA可以有它们信任的次级CA,次级CA可以代理鉴别和认证,SOA可以将它们的权利授给次级AA;
4)如果用户需要废除其签名密钥,则CA将签发证书撤销列表。与之类似,如果用户需要废除授权允许(Au【horizationPenuiss湎s),AA将签发一个屙}生证书撤消列表( AC.RL)。