PKI结构可有单个CA、层次结构的CA、网状结构的CA与桥CA四种情况。四种结构都是PKI的基本属性决定的:包括PKI中用户信任的CA的数量与在多CA的PKI环境中,CA之间的信任关系。
1.唯一证书中心的单CA结构
这是最基本的PKI结构。它给PKI中的全部用户给出证书、证书状态信息等PKI服务。PKI中的全部用户信任这个单个CA。每个证书路径均从此CA的公钥开始。这就有了单一的用户信任点。
这种结构的好处是:容易实现,只需建立一个RCA,全部的用户都能实现。
不好的地方是:不容易扩展到支持大量的或不一样的群体的用户。用户的群体越大,满足全部必要的应用则越难。
2.层次结构PKI
在现实生活中,一个证书机构非常难受到全部用户的信任,且接受它发行的全部用户证书,且此证书机构也很难对全部潜在注册用户有够全方位的了解,这就需要多个CA。人们也期望把单个CA扩展为支持不一样群体的CA,从而创建一个更大、更多样化的PKI。两个互相独立的CA有2种方式结合在一起产生更大的PKI系统:使用从属关系或对等关系。
一个通过从属CA关系构建的PKI叫做层次结构的PKI。在该情况下,所有的用户都信任同一个RCA。网上交易双方进行身份认证时,双方互相给出自己的证书与签名,由CA来认证证书的有效性与真实性。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户安全通信,则需解决跨域的认证。
3.网状结构PKI
层次结构PKI的传统代替方式为通过对等关系连接CA。
由对等CA关系构建的PKI系统叫做网状结构的PKI或“可信任网络”。网状PKI里的全部CA均可能为可信任点。一般,用户信任给他们发放证书的CA。CA之间互相发证书,证书对表示了它们互相的信任关系。因CA间存在对等关系,它们无法管理其余CA发的各类型的证书。因为此信任关系是不存在限制的,因此若一个CA想要约束这种信任,则它一定会在发给其他CA的证书里体现这些限制。
4.桥CA结构
桥CA结构被设计用于弥补两种基本的PKI结构的不足与连接结构不一样的PKI系统。与网状的CA不一样的是,桥CA(BCA)不直接发证书给用户。且BCA不当做一个可信任点,让PKI里的用户用,这一点不同于层次结构中的RCA。BCA和不一样的用户群体构建对等的可信任关系,可让用户维持本来就有的可信任点。这些关系被结合构成“信任桥”,使来自不一样用户群体的用户由确定信任级别的BCA互相作用。
若用户群体以层次结构的PKI构建信任域,BCA会和此PKI的RCA建立关系。然而,若用户群体通过网状结构的PKI建立信任域,则BCA仅需和此PKI中的任一CA建立关系。在两种情况下,PKI中和BCA构成信任关系的CA均叫“主CA”。
