特权管理基础设施

2.4.6  特权管理基础设施

用户在访问应用系统时必须要能控制：访问者是谁，能访问哪些资源。这两项控制检查措施必须在用户进入应用系统时进行检查。其中，前一项——“访问者是谁”对应的是用户的身份认证问题，后一项——“能访问哪些资源”对应的是授权权限问题。为了解决这个问题，特权管理基础设施（Privilege Management Infras【ructure，PMI）应运而生，即提供了一种在多应用环境中的权限管理和访问控制机制，将权限管理和访问控制从具体应用系统中分离出来，使得访问控制机制和应用系统之间能灵活而方便的结合。

1.PMI主要功能

PMI是与应用相关的授权服务管理基础设施，其主要功有皂包括： 1 )对权限管理进行了系统的定义和描述；2)系统地建立起对用户身份到应用授权的映射； 3)支持应用访问控制。

简单地说，PMI能提供一种相对独立于应用的有效的体系结构，）睁应用资源和用户身份及访问权限之l司建立对应关系，支持应用权限的有效管理和访问控制，以保证用户臼茏获取他们有权获取的信息、做有权限操作。

PMI建立在PKI提供的可信的身份认证服务的基础上，采用基于属性证书(Attribute Cenificate，AC)的授权模式，为应用提供用户身份到应用权限的映射功有邕。PMI和PI<I之间的主要区别在于：PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你禽旨做佯么”；PKI主要进行身份鉴别，证明用户身份，即“你是谁”。两者之间的关系，通常使用护照和签证的关系来表述，护照是身份证明，可以用来唯一标识个人信息；而签证具有属性类错，同一个护照可以有多个国家的签证，能在指定时间进入对应的国家。