基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合，其灵活性是传统的授权管理模式所无法比拟的。

与传统的授权管理模式相比，采用属性证书机制的授权管理技术对授权管理信息提供了更多的保护功能；而与直接采用公钥证书的授权管理技术相比，则进一步增加了授权管理机制的灵活性，并保持了信任服务体系的相对稳定性。

基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离，更加明确了业务管理员和安全管理员之间的职责分工，可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。

基于PMI技术的授权管理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核，进一步加强了授权管理的可信度。

基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来，授权管理模块自身的维护和更新操作将与具体的应用系统无关，因此，可以在不影响原有应用系统正常运行的前提下，实现对多授权模型的支持。

三、授权管理基础设施PMI系统的架构及需求

一）PKI系统的架构

PMI 授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是 PKI 体系下的数字证书，也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。

授权管理基础设施PMI在体系上可以分为三级，分别是信任源点SOA中心、属性权威机构AA中心和AA代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如下图1所示。

图1 授权服务体系的总体架构示意图

1、信任源点SOA

信任源点(SOA中心)是整个授权管理体系的中心业务节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构。

SOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。

2、授权服务中心AA

属性权威机构AA中心是授权管理基础设施PMI的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设，并与SOA中心通过业务协议达成相互的信任关系。

AA中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。

3、授权服务代理点

AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应AA中心的附属机构，接受AA中心的直接管理，由各AA中心负责建设，报经主管的SOA中心同意，并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。

AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。

4、访问控制执行者

访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。

访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。

二）PMI系统的需求

权限管理作为PKI的一个领域得到快速发展，人们已经认识到需要超越当前PKI提供的身份验证和机密性，步入授权验证的领域，提供信息环境的权限管理将成为下一个主要目标。在PKI的基础上，PMI实际提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密的集成。PMI作为一个基础设施能够系统地建立起对认可用户的授权。PMI通过结合授权管理系统和身份认证系统补充了PKI的弱点，提供了将PKI集成到应用计算环境的模型。PMI权限管理和授权服务基础平台应该满足下面的需求：作为权限管理和授权服务的基础设施，可以为不同类型的应用提供授权管理和访问控制的平台支持。

随着信息安全市场的成熟，对访问控制产品的兴趣和认识日益增长，显示出PMI系统良好的应用前景。PMI应用能够有效地增强系统的安全性，改变现有的多种权限管理模型带来权限管理混乱，降低应用系统的开发成本，提高企业的效率。

四、授权管理基础设施PMI的应用

1、在国家电子政务中应用

国家信息安全基础设施（NISI）由公开密钥基础设施(PKI)和授权管理基础设施(PMI)组成。其中，公开密钥(简称“公钥”)基础设施构成所谓的PKI信息安全平台，提供智能化的信任服务；而授权管理基础设施PMI构成所谓的授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务。

采用公钥密码体制构建公钥基础设施PKI，是在大型开放的网络环境下解决信息安全问题的最可行、最有效的办法。公钥基础设施是国家信息安全建设中极其关键的基础性设施，它在底层网络基础设施的基础上构建了一个一致的信息安全服务层面，可以满足各种应用在安全方面的需求。

授权管理基础设施PMI以一个身份鉴别体系(如PKI体系)为基础，向应用系统提供全面统一的授权管理和访问控制服务。授权管理基础设施PMI主要提供分布式计算环境中应用系统的访问控制功能，通过将访问控制机制从具体应用系统的开发和管理中分离出来，使访问控制机制与应用系统之间能灵活而方便地结合和使用。具有我国自主知识产权的授权管理基础设施现已研发成功。

可信时间戳服务系统是国家信息安全基础设施（NISI）的另一重要组成部分，它将精确授时技术和公钥基础设施PKI技术有机地结合起来，通过对证书或相关的数据加上时间标记，以此建立证据表明证书或数据的存在和有效性，从而为电子政务的各种应用提供可靠的时间戳服务。

授权管理基础设施PKI技术是一个新出现的领域，我国在这方面的研究比国外先进水平落后不多，由于电子政务应用自身的特点，PKI技术将在整个电子政务系统中发挥重要作用。

2、基于PKI/PMI的IP宽带城域网安全应用

采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC（包括用户个人信息，如序列号、IP地址、MAC地址等信息）、AC（包括用户的属性信息，如角色、访问控制权限等）的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。“一实体一证”是由PKC的唯一性，准确地标识用户身份；所谓“统一发证”是指：由第三方证书认证中心（CA）认证机构负责统一签发IP宽带城域网的用户、设备的PKC；由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而“分布式逐级管理”是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域（如可区别普通家庭用户、大客户等），每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。

如深圳电信采用了当今先进的网络产品和技术，充分开展各种先进的IP网络服务，代表了目前我国各大城市中最新的IP宽带城域网网络状况。该项目的关键技术是将我国具有自主知识产权的PKI（公钥基础设施）和PMI（授权管理基础设施）等信息安全关键技术，应用到电信IP宽带网中来，构建了信息安全基础设施平台。其中采用了数字证书方式实现电信宽带IP网络的用户认证和授权，从而实现了IP宽带网的可控制、可管理、可经营。

附件

本文所用的缩略语如下：

PMI (Privilege Management Infrastructure) 授权管理基础设施

PKI（Public Key Infrastructure）公钥基础设施

NISI (National Information Security Infrastructure) 国家信息安全基础设施

CA（Certificate Authority）认证机构

RA (Registration Authority) 注册机构

SOA (Source of authority) 信任源点

AA (Attribute authority) 属性权威机构

PKC（Public Key Certificate）公钥证书

AC (Attribute Certificate) 属性证书

(责任编辑：clearcase/" target="_blank" >ccidnet.com">赵纪雷)

原文转自：http://www.ltesting.net