属性证书(Attribute Certificate),属性证书是一种轻量级的数字证书,这种数字证书不包含公钥信息,只包含证书所有人ID、发行证书ID、签名算法、有效期、属性等信息。一般的属性证书的有效期均比较短,这样可以避免公钥证书在处理CRL时的问题。如果属性证书的有效期很短,到了有效期的日期,证书将会自动失效,从而避免了公钥证书在撤消时的种种弊端。属性一般由属性类别和属性值组成,也可以是多个属性类别和属性值的组合。这种证书利用属性来定义每个证书持有者的权限、角色等信息。从而可以解决PKI中所面临的问题,对信任进行一定程度的管理。
上面的定义摘自:http://wenwen.soso.com/z/q147337377.htm
涉及到另外一些知识点,说白了不外乎实际应用需要。最开始是PKI的应用,这个系统中使用数字证书来进行身份认证。该数字证书中既包含了用户的公钥,也包含有用户的身份信息或用户的权限,这些用户与用户相关的信息(公钥不变),在一定的环境下需要频繁的更换,每次更换都要在PKI中进行相应的数字证书撤销和生成新的数字证书,增加了系统的负担。因此,提出了属性证书 ,区别于数字证书,属性证书没有包含用户的公钥,而是保存用户那些除了公钥的某些信息,比如用户信息、用户的权限等等。这样,用户有两个证书,一个是数字证书,证明其身份;一个是属性证书,标明其身份信息和拥有的权限,两个证书绑定在一起的。PKI的负担减少了,提出了PMI(Privilege Management Infrastructure)来管理和维护属性证书 。
属性证书的特点 :
1、身份和权限的分离,适应了互联网应用的特点
2、不同的用户具备不同的访问权限
3、需要分别为用户进行访问授权
4、同一用户的权限信息可能经常发生改变
5、用户的授权方和权限的验证方分离
这样,从PKI和PMI中来看数字证书(公钥证书)和属性证书:
1、用户的信息合理地分成了两类:
存放在X.509公钥证书中的基本身份信息
存放在属性证书中的容易改变的属性信息的
2、两类证书的发放权限可以由不同的部门来管理和执行
3、PKI证明用户是谁,为用户颁发数字证书
4、PMI证明这个用户有什么权限、什么属性,并为用户颁发属性证书
5、PMI更适合于那些基于角色的访问控制领域