PKI分析设计篇PKI体系架构策略目前,在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、银行到政府各职能部门的普遍关注。PKI系统的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证的可靠性,具体职能包括:制定完整的证书管理政策、建立高可信度的CA中心、负责用户属性的管理、用户身份隐私的保护和证书作废列表的管理,CA中心为用户提供证书及CRL有关服务的管理,建立安全和相应的法规,建立责任划分并完善责任政策。但是怎样让PKI各组成部分有机协调,不同CA之间的互连互通是个非常重要的问题,为此专家学者设计了多种PKI体系架构,美国、加拿大等政府机构都提出了建立国家PKI体系的具体实施方案。PKI是由很多CA及CA信任链组成的。CA通过三种方式组织到一起。第一种是首先建立根CA,再在根CA下组成分层的体系结构,上层CA向下层CA发放证书。第二种是CA连接成网状,并且它们之间的地位相互平等。第三种是美国技术标准组织制定了一种融合分层结构和网状结构体系特点的混合体系结构规范。这种混合体系结构也叫桥接体系结构。桥接体系结构是为解决以上两种体系交叉信任而建立的,它具有
