PKI信任模型可分为以下几类:
1.根CA信任模型
根CA信任模型,也叫作严格层次信任模型。该信任模型下,CA中心可以分为多级,用户证书由CA中心签发,各级CA中心之间呈现严格的层次关系,最上级CA中心只有一个,也叫作根CA,其他CA叫作子CA。根CA的数字证书是自己签发的,属于自签名证书,子CA的数字证书是上级签发的。信任锚可以是根CA,也可以是子CA。
2.交叉认证信任模型
该信任模型下,根CA之间能互相签发交叉认证证书,该交叉认证证书与子CA证书等同。在不增加信任锚的前提下,就可以把信任关系传递到其他CA管理域。通常情况下,只有根CA之间签发交叉认证证书,子CA之间不签发交叉认证证书。
交叉认证信任模型中,当有N个根CA时,最多需要签发N(N-1)个交叉认证证书。
3.桥CA信任模型
该信任模型下,引入独立的桥CA中心,等同于虚拟的根CA。所有根CA与桥CA之间互相签发交叉认证证书。在不增加信任锚的前提下,就可将信任关系传递到其他CA管理域。
桥CA信任模型中,当有N个根CA时,最多只需要签发2N个交叉认证证书。
4.信任列表信任模型
该信任模型下,用户可以拥有多个信任锚。
Web浏览器属于典型的信任列表信任模型,已经内置了多个信任锚。
