网络信息安全第1112讲3739综述.pptVIP

3.9 PKI信任模型 　1．严格层次结构 　　严格层次结构的CA之间存在着严格的上下级关系，下级完全听从并执行上级的规定。这种情况尤其存在于一个公司内部、政府机关等场合。在这种模型中，所有用户都信任根CA，也就是说，所有用户都从根CA开始证书路径的处理。通常，根CA并不颁发证书给终端用户，只颁发给下一级的CA。而其他CA则可以同时颁发证书给下一级CA和终端用户。而且，在这种结构中，信任关系是单向的。只允许上一级CA向下一级CA或终端用户颁发证书。 　　 3.9 PKI信任模型 　1．严格层次结构 　　(1) 等级模型具有良好的可扩展性。PKI的扩展只需要CA向待扩展的CA签发证书即可。 　　(2) 很容易寻找证书路径。因为信任关系是单向的，且所有用户都信任根CA。 　　(3) 证书路径处理相对较短。最长的证书路径等于结构树的深度加一。 　　(4) 根据CA的位置，隐性地知道证书的使用限制，因此，证书比较简单。 3.9 PKI信任模型 　2．分布式信任结构 　　与严格层次结构相反，分布式信任结构把信任分散到两个或更多个CA上，如图3-7所示。一些用户以CA1为信任锚，另外一些用户以CA2为信任锚。同时，CA1、CA2分别是其域内用户的根CA。也就是说，在根一级的CA层次上，CA和CA之间是对等的，地位是相同的。通常，这种地位相同的CA的交互采用交叉认证来实现。企业之间、政府