一标识符签名算法序列号有效期属性扩展域段属性证书版本该权限证书的持有者签发属性证书的AA的名称签发属性证书的AA的名称的唯一标识符签名算法标识符证书序列号权限属性证书有效期间持有者的属性包含其它信息含义
f数字签名
签发者的数字签名
212基于角色的访问控制212基于角色的访问控制随着计算机网络技术和信息技术的迅速发展，通过网络传输和处理的信息和数据越来越多，需要进行访问控制的资源数量迅速扩大，访问控制的难度不断增加，对系统资源访问控制的要求也越来越高。在网络和分布式应用环境下，对于安全性要求较高的信息资源，既要求能够由信息资源的管理部门统一进行管理，确保信息资源受控、合法、安全地使用，又需要授权管理和访问控制的复杂度不能因为资源和用户数量的增长而迅速增加，以确保授权和访问控制的可管理性，实现统一、高效、灵活的访问控制。传统的访问控制机制，如自主访问控制（DAC，Discretio
aryAccessCo
trol）、强制访问控制（MAC，Ma
datoryAccessCo
trol）等已远远不能满足访问控制的上述要求。20世纪90年代以来发展起来的基于角色的访问控制（RBAC）技术可以减少授权管理的复杂度，降低管理开销，提高访问控制的安全性，而且能够实现基于策略的授权管理和访问控制。在基于角色的访问控制（RBAC）中，引入了角色这一重要概念。角色是对用户拥有的职能和权限的一种抽象，RBAC的基本思想是，根据用户在组织内的职称、职务及所属的业务部门等定义用户拥有的角色，而授权给用户的访问权限，由用户在组织中担当的角色来确定。鉴于基于角色的访问控制技术的优势，需要在PMI中采用基于角色的访问控制技术进行授权管理和访问控制，以角色为中介，建立以对象与操作、权限、角色、组织结构、系统结构为核心的层次化的资源结构和关系的描述、定义和管理框架，充分反映信息系统资源配置和部署的现状以及未来资源结构动态变化和业务发展的需求，为授权管理和访问控制提供基础信息，并通过角色的分配实现对用户的授权，提高授权的可管理性和安全性，简化授权管理的复杂度，降低资源管理和授权管理的成本，提高管理的效率。PMI系统框架22PMI系统框架授权管理基础设施PMI在体系上可以分为三级，分别是信任源点SOA中心、属性权威机构AA中心和AA代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如下图1所示。
f信任源点SOA
授权服务中心AA
授权服务中心AA
资源管理r