MPMI采用基于角色的訪問控制思想來 實現權限的分配，在驗證用戶身份證書的基礎上向用戶頒發角色分配證書，由與角色分配證書相關聯的角色規范證書來確定權限。

　　角色分配證書的申請由具有合法身份的用戶在AR&PA系統發起，經AR&PA系統驗證審核后，交由AA生成角色分配證書并簽發，最后把證書發送給AR&PA系統制證，筆耕文化傳播，并把證書信息發送到LDAP服務器，具體流程如圖3所示。

　　(1)具有合單身份的用戶向MPMI的用戶代理節點AR&PA提交申請(申請表、個人信息及證明材料)和身份證書。

　　(2)AR&PA驗證用戶身份證書，判斷身 份證書是否合法。

　　(3)如果身份證書合法，則把個人信息和 證明材料交由AA，并由AA驗證個人信息和證明材料是否真實g否則返回錯誤報告。

　　(4)如果AA驗證材料屬實，貝(J將用戶信 息寫入AR&PA數據庫，并將用戶申請提交給AA;否則返回錯誤報告。

　　(5)AA將接收的用戶信息寫入AA數據庫，并依據用戶信息決定角色。

　　(6)AA生成角色分配證書并簽發，并將證 書相應信息寫人LDAP服務器及AA數據庫。

　　(7)AA將證書簽發送給AR&PA進行制證。

　　MPMI安全性考慮

　　為了增強系統的安全性，可以采取以下措施。

　　(1)管理員設置，每個子系統都設置系統管理員、操作管理員和審核員，分別負責系統的開啟、具體操作和系統的監控。對于系統管理員采用mofn的機制進行管理，即系統安裝時設置n個系統管理員，但是系統的開啟至少需要m個系統管理員同時在場。

　　(2)證書載體，采用智能密碼鑰匙作為 屬性分配證書的存儲載體，證書的驗證和解析在智能密碼鑰匙內完成。

　　(3)內部通信，采用SS13.0協議(5)來保證 各系統內部通信的安全性。

　　(4)AA私鑰保存:AA的私鑰用來對證書進行數字簽名，一旦丟失將造成系統的癱瘓，因此應當對其進行備份。可以將AA私鑰分成幾份由幾個管理員分別保存，以保證安全性。

　　(5)輔助措施:采用防火墻、VPN和殺毒 軟件等安全輔助措施，同時注意物理安全。

　　結語

　　本文在常見PMI模型的基礎上提出了MPMI模型，完善了PKI的不足，同時該模型 設置了用戶申請和應用系統的代理機構，適合大規模分布式應用。筆者將MPMI應用于本單位園區網的情況進行了分析，只有在智能密碼鑰匙丟失并且保護口令泄露的情況下才會有非授權情況發生，但是一旦發生此類情況可以立即向AA申請掛失，將屬性證書放入證書撤銷列表中。下一步將對MPMI進行遠距離、跨區域仿真實驗，對系統進一步完善。

　　本文由整理發布，轉載請注明出處！