2.4.6  特權(quán)管理基礎(chǔ)設(shè)施

用戶在訪問應(yīng)用系統(tǒng)時(shí)必須要能控制：訪問者是誰，能訪問哪些資源。這兩項(xiàng)控制檢查措施必須在用戶進(jìn)入應(yīng)用系統(tǒng)時(shí)進(jìn)行檢查。其中，前一項(xiàng)——“訪問者是誰”對應(yīng)的是用戶的身份認(rèn)證問題，后一項(xiàng)——“能訪問哪些資源”對應(yīng)的是授權(quán)權(quán)限問題。為了解決這個(gè)問題，特權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infras【ructure，PMI）應(yīng)運(yùn)而生，即提供了一種在多應(yīng)用環(huán)境中的權(quán)限管理和訪問控制機(jī)制，將權(quán)限管理和訪問控制從具體應(yīng)用系統(tǒng)中分離出來，使得訪問控制機(jī)制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。

1.PMI主要功能

PMI是與應(yīng)用相關(guān)的授權(quán)服務(wù)管理基礎(chǔ)設(shè)施，其主要功有皂包括： 1 )對權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述；2)系統(tǒng)地建立起對用戶身份到應(yīng)用授權(quán)的映射； 3)支持應(yīng)用訪問控制。

簡單地說，PMI能提供一種相對獨(dú)立于應(yīng)用的有效的體系結(jié)構(gòu)，）睜?wèi)?yīng)用資源和用戶身份及訪問權(quán)限之l司建立對應(yīng)關(guān)系，支持應(yīng)用權(quán)限的有效管理和訪問控制，以保證用戶臼蘢獲取他們有權(quán)獲取的信息、做有權(quán)限操作。

PMI建立在PKI提供的可信的身份認(rèn)證服務(wù)的基礎(chǔ)上，采用基于屬性證書(Attribute Cenificate，AC)的授權(quán)模式，為應(yīng)用提供用戶身份到應(yīng)用權(quán)限的映射功有邕。PMI和PI<I之間的主要區(qū)別在于：PMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶有什么權(quán)限，能干什么，即“你禽旨做佯么”；PKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰”。兩者之間的關(guān)系，通常使用護(hù)照和簽證的關(guān)系來表述，護(hù)照是身份證明，可以用來唯一標(biāo)識個(gè)人信息；而簽證具有屬性類錯(cuò)，同一個(gè)護(hù)照可以有多個(gè)國家的簽證，能在指定時(shí)間進(jìn)入對應(yīng)的國家。