3. 屬性證書

PMI使用屬性證書表示和容納權限信息，對權限生命周期的管理是通過管理證書的生命周期實現的。屬性證書是一種輕量級的數據體，這種數據體不包含公鑰信息，只包含證書持有人ID、發行證書ID簽名算法、有效期、屬性等信息等。屬性證書的申請、簽發、注銷、 驗證流程對應著權限的申請、發放、撤銷和使用驗證的過程。

相比較，公鑰證書是將一個標識和公鑰綁定，以此表明用戶的身份；而屬性證書( AC)則是將一個標識和一個角色、權限、或者屬性通過數字簽名進行綁定，以此表明用

戶的角色、權限或者屬性。和公鑰證書一樣，AC能被分發和存儲或緩存在非安全的分布式環境中，具有不可偽造、防竄改的特性。同時，屬性證書的分發以及應用具有如下特點：

1)獨立的發行機構

由于把屬性信息從身份信息中分離出來，單獨制作成屬性證書，這樣屬性授權過程較為獨立，且對應用有針對性。在實踐中，屬性證書頒發機構和用戶公鑰證書頒發機構獨立建設。

2)屬性證書與用戶證書相關

屬性證書基于用戶身份頒布，屬性證書不單獨使用，在驗證用戶身份時將查找用戶公鑰證書，即屬性證書和公鑰證書建立關聯關系。

3)同一個身份可以有多個屬性證書

一個系統中，每個用戶僅設置一個合法身份，但是屬性證書則靈活得多，同一個身份根據應用的需要可以分發多個屬性證書。

4)存儲方式靈活

屬性證書可以分發給用戶，由用戶存儲在磁盤上或者USBKEY上，或者委托給系統進行統一存儲和管理而不必分發給用戶。由系統托管屬性證書時，應用系統根據用戶的身份直接從屬性庫中獲得用戶相應的屬性證書，不需要建立相應的協議，屬性證書的使用和變更對用戶是透明的。

5)時效短

屬性證書的有效期根據用戶屬性來設置，而不必和用戶公鑰證書一樣的有效期。由于用戶屬性，如臨時進出機房權限，可以很短，因此可在頒發屬性證書時設置很短的有效期。由此帶來的好處是系統屬性證書撤銷列表方面的維護開銷較小。

6)基于屬性實施訪問控制

應用屬性證書后，在存取控制方面不再基于用戶身份，取而代之的是基于其擁有屬性來決定其對某一資源或服務是否擁有訪問權。這樣應用程序中訪問控制規則可以簡單地被定義成按屬性來決定訪問權。這種方式相對更簡單、更易理解，并且更易維護。