PMI系统的架构是怎样的？

PMI授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是PKI体系下的数字证书，也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。授权管理基础设施PMI在体系上可以分为三级，分别是信任源点(SOA中心)、属性权威机构AA中心和AA代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如图所示。

1. 信任源点(SOA中心)。信任源点(SOA中心)是整个授权管理体系的中心业务节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。

2. 授权服务中心AA。属性权威机构AA中心是授权管理基础设施PMI的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设，并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。

3. 授权服务代理点。AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应AA中心的附属机构，接受AA中心的直接管理，由各AA中心负责建设，报经主管的SOA中心同意，并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。

4. 访问控制执行者。访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。对于PMI基础设施，由于它是建立在PKI基础之上的，因此也必须遵循国家统一的标准，按照国家的统一部署和管理规定，有序开展这项建设工作，地方不能各自为政。按照效益的原则，实现以较少的投入取得较大的收益，从而可以极大地减少技术上的困难，同时可以节省巨额的资金投入。同时，PMI基础设施所采用的技术也应该建立在我国自己的技术平台之上，从而保证信息安全。