信息服务实体 PKI 信任域结构模型
PKI 用于信息服务信任域中,信息服务实体场景下常用的有以下几种:严格层次结构模型(SHCATM)、分布式信任结构模型(DTATM)、桥 CA 的结构模型(BCATM)、单点模型。
严格层次结构模型(SHCATM)
根 CA:认证起点,是所有实体唯一信任的 CA,任何下级 CA 需经过上级 CA 的认证才可以拥有有效的身份。
中介CA:树中间的服务器
终端用户:树末端叶节点
用户 1 与用户 2 进行交互时,需要建立认证路径,最终通过根 CA 验证对方的证书,建立双向信任。
优点:该模型认证简单,容易扩展。
缺点:但是由于耦合度高,单节点的错误会对认证效果造成很大的影响,跨域认证交互性差。
分布式信任结构模型(DTATM)
根 CA 信任依赖降低,存在多个信任 CA,在安全性方面有很大提高。单个信任节点下的子集中采用的是严格层次结构模型。
当用户 1 和用户 2 进行交互时,需要通过建立交叉证书实现相互认证。
优点:该模型降低了节点之间的耦合度
缺点:路径发现比较困难,随着认证数量的增加,信任节点需要保存越来越多的交叉证书,需要更多的维护成本。
桥 CA 的结构模型(BCATM)
桥 CA 负责不同信任节点间的相互认证,信任域间通过其建立平等的信任关系,用户只需保持对原节点的信任度。桥 CA 不参与证书的签发,只作为认证路径中的转接器。
缺点:该模型中的桥 CA 需要维护大量不同结构的证书,信任域规模受到限制。