PMl体系架构

2.PMl体系架构

PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。其主要组件包括SOA、AA、ARA、用户以及证书库等。

1)信任源点(SOA)

SOA是特权管理基础设施的信任源点，是整个授权系统最高管理机构，相当于PKI系统中的根CA，对整个系统特权分发负有最终的责任。SOA的主要职责是授权策略的管理、应用授权受理、属性权威AA的设立审核及管理等。

2)属性权威机构(AA)

是特权管理基础设施的核心服务节点，是对应于具体应用系统的授权管理分系统，由各应用部门管理，SOA授权给它管理一部分或全部属性的权力。AA中心的职责主要包括应用授权受理。可以有多个层次，上级AA可授权给下级AA，下级可管理的属性的范围不能超过上级。

3)属性注册权威机构(ARA)

ARA和RA的位置类似，ARA是AA的延伸，主要负责提供属性证书注册、审核以及分发功能。

4)用户

也称特权持有者，指使用属性证书的终端实体。 5)证书/ACRL库主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL，以供查询使用。在PMI和PKI-起建设时，也可以直接使用PKI的LDAP作为PM珀勺证书/CRL库。

可以看出，PMI参考PKI体系结构进行设计，有很多相似的概念，如：

1)数字签名公钥证书的实体被称为CA，签名属性证书的实体被称为AA;

2) PKI信任源被称为根CA，而PMI信任源被称为SOA；

3)CA可以有它们信任的次级CA，次级CA可以代理鉴别和认证，SOA可以将它们的权利授给次级AA；

4)如果用户需要废除其签名密钥，则CA将签发证书撤销列表。与之类似，如果用户需要废除授权允许（Au【horizationPenuiss湎s），AA将签发一个屙}生证书撤消列表( AC.RL)。