中心RM
资源管理中心RM
业务受理点
业务受理点
安全策略服务LDAP服务
操作授权服务
安全策略服务LDAP服务
操作授权服务
图2授权服务体系的总体架构示意图（1）信任源点SOA信任源点SOA中心是整个授权管理体系的中心业务节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。（2）授权服务中心AA属性权威机构AA中心是授权管理基础设施PMI的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设，并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。（3）授权服务代理点AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应AA中心的附属机构，接受AA中心的直接管理，由各AA中心负责建设，报经主管的SOA中心同意，并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。
f（4）访问控制执行者访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息属性证书连同对应的身份验证信息公钥证书一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。
3PMI与PKI的关系3PMI与PKI的关系
PKI和PMI都是重要的安全基础设施，它们是针对不同的安全需求和安全应用目标设计的，PKI主要进行身份鉴别，证明用户身份，即“你是谁”；PMI主要进行授权管理和访问控制决策，证明这个用户有什么权限，即“你能干什么”，因此它们的实现的功能是不同的。尽管如此，PKI和基于属性证书PMI两者又具有密切的关系。基于属性证书的PMI是建立在PKI基础之上的，一方面，对用户的授权要基于用户的真实身份，即用户的公钥数字证书，并采用公钥技术对属性证书进行数字签名，另一方面，访问控制决策是建立在对用户身份认r