什麼是屬性證書

 屬性證書（Attribute Certificate）,屬性證書是一種輕量級的數字證書，這種數字證書不包含公鑰資訊，隻包含證書所有人ID、發行證書ID、簽名算法、有效期、屬性等資訊。一般的屬性證書的有效期均比較短，這樣可以避免公鑰證書在處理CRL時的問題。如果屬性證書的有效期很短，到了有效期的日期，證書将會自動失效，進而避免了公鑰證書在撤消時的種種弊端。屬性一般由屬性類别和屬性值組成，也可以是多個屬性類别和屬性值的組合。這種證書利用屬性來定義每個證書持有者的權限、角色等資訊。進而可以解決PKI中所面臨的問題，對信任進行一定程度的管理。

涉及到另外一些知識點，說白了不外乎實際應用需要。最開始是PKI的應用，這個系統中使用數字證書來進行身份認證。該數字證書中既包含了使用者的公鑰，也包含有使用者的身份資訊或使用者的權限，這些使用者與使用者相關的資訊（公鑰不變），在一定的環境下需要頻繁的更換，每次更換都要在PKI中進行相應的數字證書撤銷和生成新的數字證書，增加了系統的負擔。是以，提出了屬性證書 ，差別于數字證書，屬性證書沒有包含使用者的公鑰，而是儲存使用者那些除了公鑰的某些資訊，比如使用者資訊、使用者的權限等等。這樣，使用者有兩個證書，一個是數字證書，證明其身份；一個是屬性證書，标明其身份資訊和擁有的權限，兩個證書綁定在一起的。PKI的負擔減少了，提出了PMI（Privilege Management Infrastructure）來管理和維護屬性證書 。

屬性證書的特點 ：

1、身份和權限的分離，适應了網際網路應用的特點

2、不同的使用者具備不同的通路權限

3、需要分别為使用者進行通路授權

4、同一使用者的權限資訊可能經常發生改變

5、使用者的授權方和權限的驗證方分離

這樣，從PKI和PMI中來看數字證書（公鑰證書）和屬性證書：

1、使用者的資訊合理地分成了兩類：

   存放在X.509公鑰證書中的基本身份資訊

   存放在屬性證書中的容易改變的屬性資訊的

2、兩類證書的發放權限可以由不同的部門來管理和執行

3、PKI證明使用者是誰，為使用者頒發數字證書

4、PMI證明這個使用者有什麼權限、什麼屬性，并為使用者頒發屬性證書

5、PMI更适合于那些基于角色的通路控制領域