授權管理基礎設施

授權管理基礎設施PMI以資源管理為核心，對資源的訪問控制權統一交由授權機構統一處理，即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比，兩者主要區別在於：PKI證明用户是誰，而PMI證明這個用户有什麼權限，能幹什麼，而且授權管理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證。PMI與PKI在結構上是非常相似的。信任的基礎都是有關權威機構，由他們決定建立身份認證系統和屬性特權機構。在PKI中，由有關部門建立並管理根CA，下設各級CA、RA和其他機構；在PMI中，由有關部門建立授權源SOA，下設分佈式的AA和其他機構。

PMI實際提出了一個新的信息保護基礎設施，能夠與PKI和目錄服務緊密地集成，並系統地建立起對認可用户的特定授權，對權限管理進行了系統的定義和描述，完整地提供了授權服務所需過程。

建立在PKI基礎上的PMI，以向用户和應用程序提供權限管理和授權服務為目標，主要負責向業務應用系統提供與應用相關的授權服務管理，提供用户身份到應用授權的映射功能，實現與實際應用處理模式相對應的、與具體應用系統開發和管理無關的訪問控制機制，極大地簡化應用中訪問控制和權限管理系統的開發與維護，並減少管理成本和複雜性。

PKI具有以下12種功能操作：

這些功能大部分都是由PKI的核心組成部分CA完成的。

PKI是以公鑰加密為基礎的，為網絡安全保障的基礎設施。從理論上來講，是目前比較完善和有效的實現身份認證和保證數據完整性、有效性的手段。但在實際的實施中，仍有一些需要注意的問題。

與PKI安全相關的最主要問題是私有密鑰的存儲安全性。私有密鑰保存的責任是由持有者承擔的，而非PKI系統的責任。私鑰的丟失，會導致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢紙證書的聲明出現在公共可訪問列表的時間之間會有一段時間的延遲，而無效證書可能在這一段時間內被使用。另外，Intemet使得獲得個人身份信息很容易，如身份證號等，一個人可以利用別人的這些信息獲得數字證書，而使申請看起來像來自別人。同時，PKI系統的安全很大程度上依賴於運行CA的服務器、軟件等，如果黑客非法侵入一個不安全的CA服務器，就可能危害整個PKI系統。因此，從私鑰的保存到PKI系統本身的安全方面還要加強防範。在這幾方面獨有比較好的安全性的前提下，PKI不失為一個保證網絡安全的合理和有效的解決方案。

PKI的標準化問題實現不同的PKI域具有良好的藉口的必要條件。

目前世界上很多的標準化小組都在關注和從事PKI的標準化工作。PKI標準化的主要內容涉及四個方面：基本安全算法、公約基礎實施、E-mail安全和對稱加密算法(DES、IDEA)、數字簽名算法(RSA、DSA)等。公鑰基礎實施的標準包括ANS．1規範、CA證書格式、Intemet X．509標準、PKIX、SET安全協議等。E-mail安全標準包括S/MIME、PEM、PGP協議標準。Web的安全標準有安全HTFP協議(S/HTIP)、安全套接層(SSL)協議等。PKI的標準化工作已取得了很大的進展，許多標準已相對穩定，但仍有許多方面的標準需要迸一步的發展和完善。預計在未來的幾年裏，會有更多的標準將進入完善和穩定階段，並被PKI產品和服務商所採用。這些標準將大大增強PKI產品或服務的功能和互操作性。

1998年，自我國國內第一家以實體形式運營的上海CA中心(SHECA)成立以來，全國先後建成了幾十家不同類型的CA認證機構，CA認證概念也逐步從電子商務滲透至電子政務、金融、科教等各個領域。然而國內CA建成自成體系的現狀，直接導致了CA認證的權威性、互通性、可靠性等達不到要求。 ^[1]