2.4.6  特權(quán)管理基礎(chǔ)設(shè)施

用戶在訪問(wèn)應(yīng)用系統(tǒng)時(shí)必須要能控制：訪問(wèn)者是誰(shuí)，能訪問(wèn)哪些資源。這兩項(xiàng)控制檢查措施必須在用戶進(jìn)入應(yīng)用系統(tǒng)時(shí)進(jìn)行檢查。其中，前一項(xiàng)——“訪問(wèn)者是誰(shuí)”對(duì)應(yīng)的是用戶的身份認(rèn)證問(wèn)題，后一項(xiàng)——“能訪問(wèn)哪些資源”對(duì)應(yīng)的是授權(quán)權(quán)限問(wèn)題。為了解決這個(gè)問(wèn)題，特權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infras【ructure，PMI）應(yīng)運(yùn)而生，即提供了一種在多應(yīng)用環(huán)境中的權(quán)限管理和訪問(wèn)控制機(jī)制，將權(quán)限管理和訪問(wèn)控制從具體應(yīng)用系統(tǒng)中分離出來(lái)，使得訪問(wèn)控制機(jī)制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。

1.PMI主要功能

PMI是與應(yīng)用相關(guān)的授權(quán)服務(wù)管理基礎(chǔ)設(shè)施，其主要功有皂包括： 1 )對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述；2)系統(tǒng)地建立起對(duì)用戶身份到應(yīng)用授權(quán)的映射； 3)支持應(yīng)用訪問(wèn)控制。

簡(jiǎn)單地說(shuō)，PMI能提供一種相對(duì)獨(dú)立于應(yīng)用的有效的體系結(jié)構(gòu)，）睜?wèi)?yīng)用資源和用戶身份及訪問(wèn)權(quán)限之l司建立對(duì)應(yīng)關(guān)系，支持應(yīng)用權(quán)限的有效管理和訪問(wèn)控制，以保證用戶臼蘢獲取他們有權(quán)獲取的信息、做有權(quán)限操作。

PMI建立在PKI提供的可信的身份認(rèn)證服務(wù)的基礎(chǔ)上，采用基于屬性證書(shū)(Attribute Cenificate，AC)的授權(quán)模式，為應(yīng)用提供用戶身份到應(yīng)用權(quán)限的映射功有邕。PMI和PI<I之間的主要區(qū)別在于：PMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶有什么權(quán)限，能干什么，即“你禽旨做佯么”；PKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰(shuí)”。兩者之間的關(guān)系，通常使用護(hù)照和簽證的關(guān)系來(lái)表述，護(hù)照是身份證明，可以用來(lái)唯一標(biāo)識(shí)個(gè)人信息；而簽證具有屬性類錯(cuò)，同一個(gè)護(hù)照可以有多個(gè)國(guó)家的簽證，能在指定時(shí)間進(jìn)入對(duì)應(yīng)的國(guó)家。