电子政务安全保障体系.pptVIP

7.6.2 特权基础设施（PMI） 撤销：属性证书的撤销与公钥证书PKC相似，也是通过证书撤销列表（Certificate Revocation List, CRL）来实现。对于有效期较长的属性证书系统，通常需要维护ACRL(Attribute Certificate Revocation List)。但由于大部分属性证书的有效期一般较短，所以通常不需要撤销，它们会因过期而简单失效，同时失效的属性证书也将因证书的更新而自动从目录服务器中删除。 7.6.2 特权基础设施（PMI） 3、属性证书与公钥证书 作为权限管理体系PMI的授权实现机制，属性证书及其属性授权结构AA考虑的是基于属性的访问控制，而不像公钥证书考虑的是基于用户或ID的身份鉴别。公钥证书PKC如同网络环境下的一种身份证，它通过将某一主体（如人、服务器等）的身份与其公钥相绑定，并由可信的第三方，即证书权威机构CA进行签名以向公钥的使用者证明公钥的合法性和权威性。 7.6.2 特权基础设施（PMI） 而属性证书CA则仅将持有者身份与其权力属性相绑定，并由部门级别的属性权威AA进行数字签名，再加上由于它不包含持有者的公钥，所以这一切都决定了它不能单独使用，必须建立在基于公钥证书的身份认证基础之上。 由此可见，尽管一个人可以拥有好几个属性证书，但每一个都