PMI技术的授权管理模式及其优点是什么？

授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。授权服务体系一般需要与信任服务体系协同工作，才能完成从特定用户的现实空间身份到特定应用系统中的具体操作权限之间的转换。

目前建立授权服务体系的关键技术主要是授权管理基础设施PMI技术。PMI技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。由于数字证书机制提供了对授权信息的安全保护功能，因此，作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。由于属性证书并不提供对用户身份的鉴别功能，因此，属性证书中将不包含用户的公钥信息。

授权管理体系将操作授权管理功能从传统的信息应用系统中剥离出来，可以为应用系统的设计、开发和运行管理提供很大的便利。应用系统中与操作授权处理相关的地方全部改成对授权服务的调用，因此，可以在不改变应用系统的前提下完成对授权模型的转换，进一步增加了授权管理的灵活性。同时，通过采用属性证书的委托机制，授权管理体系可进一步提高授权管理的灵活性。

与信任服务系统中的证书策略机制类似，授权管理系统中也存在安全策略管理的问题。同一授权管理系统中将遵循相同的安全策略提供授权管理服务，不同的授权管理系统之间的互通必须以策略的一致性为前提。

与传统的同应用密切捆绑的授权管理模式相比，基于PMI技术的授权管理模式主要存在以下三个方面的优势。

1. 授权管理的灵活性。基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合，其灵活性是传统的授权管理模式所无法比拟的。与传统的授权管理模式相比，采用属性证书机制的授权管理技术对授权管理信息提供了更多的保护功能；而与直接采用公钥证书的授权管理技术相比，则进一步增加了授权管理机制的灵活性，并保持了信任服务体系的相对稳定性。

2. 授权操作与业务操作相分离。基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离，更加明确了业务管理员和安全管理员之间的职责分工，可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。基于PMI技术的授权管理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核，进一步加强了授权管理的可信度。

3. 多授权模型的灵活支持。基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来，授权管理模块自身的维护和更新操作将与具体的应用系统无关，因此，可以在不影响原有应用系统正常运行的前提下，实现对多授权模型的支持。