2.4.6  特權管理基礎設施

用戶在訪問應用系統時必須要能控制：訪問者是誰，能訪問哪些資源。這兩項控制檢查措施必須在用戶進入應用系統時進行檢查。其中，前一項——“訪問者是誰”對應的是用戶的身份認證問題，后一項——“能訪問哪些資源”對應的是授權權限問題。為了解決這個問題，特權管理基礎設施（Privilege Management Infras【ructure，PMI）應運而生，即提供了一種在多應用環境中的權限管理和訪問控制機制，將權限管理和訪問控制從具體應用系統中分離出來，使得訪問控制機制和應用系統之間能靈活而方便的結合。

1.PMI主要功能

PMI是與應用相關的授權服務管理基礎設施，其主要功有皂包括： 1 )對權限管理進行了系統的定義和描述；2)系統地建立起對用戶身份到應用授權的映射； 3)支持應用訪問控制。

簡單地說，PMI能提供一種相對獨立于應用的有效的體系結構，）睜應用資源和用戶身份及訪問權限之l司建立對應關系，支持應用權限的有效管理和訪問控制，以保證用戶臼蘢獲取他們有權獲取的信息、做有權限操作。

PMI建立在PKI提供的可信的身份認證服務的基礎上，采用基于屬性證書(Attribute Cenificate，AC)的授權模式，為應用提供用戶身份到應用權限的映射功有邕。PMI和PI<I之間的主要區別在于：PMI主要進行授權管理，證明這個用戶有什么權限，能干什么，即“你禽旨做佯么”；PKI主要進行身份鑒別，證明用戶身份，即“你是誰”。兩者之間的關系，通常使用護照和簽證的關系來表述，護照是身份證明，可以用來唯一標識個人信息；而簽證具有屬性類錯，同一個護照可以有多個國家的簽證，能在指定時間進入對應的國家。