信任模型：信任模型有三種基本類型：層次信任模型、網(wǎng)狀信任模型和對等信任模型。

層次信任模型：層次信任模型是實現(xiàn)最簡單的模型，使用也最為廣泛。建立層次信任模型的基礎是所有的信任用戶都有一個可信任根。例如我們通常所說的根管理員，事實上就是處于根的位置。所有的信任關系都基于根來產(chǎn)生。層次信任模型的示意圖見圖6.5.1，這是一個簡單的三層信任結構。層次信任關系是一種鏈式的信任關系，比如可信任實體A1可以表示為這樣一個信任鏈：（R，C1，A1），說明可以由A1向上回溯到產(chǎn)生他的信任根R。這種鏈式的信任關系我們稱為信任鏈。層次信任模型是一種雙向信任的模型，假設Ai和Bj是要建立信任關系的雙方，Ai和Bj間的信任關系很容易建立，因為他們都基于可信任根R。層次信任模型對應于層狀結構，有一個根節(jié)點R作為信任的起點，也就是信任源。這種建立信任關系的起點或是依賴點我們稱為信任錨。信任源負責下屬的信任管理，下屬再負責下面一層的信任管理，這種管理方向是不可逆的。這個模型的信任路徑是簡單的，從根節(jié)點到葉子節(jié)點的通路構成了簡單唯一的信任路徑。層次信任模型的優(yōu)點在于結構簡單，管理方面，易于實現(xiàn)。他的缺點是Ai和Xk的信任關系必須通過根來實現(xiàn)，而可信任根R是默認的，無法通過相互關系來驗證信任。一旦信任根出現(xiàn)問題，那么信任的整個鏈路就被破壞了。現(xiàn)實世界中，往往建立一個統(tǒng)一信任的根是困難的。對于不在一個信任域中的兩個實體如何來建立信任關系？這用一個統(tǒng)一的層次信任模型來實現(xiàn)需要在建立信任的框架中預留有未來的發(fā)展余量，而且必須強迫信任域中的各方都統(tǒng)一信任可信任根R。

層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應用這種模型是很困難的。另外，在層次信任模型的內(nèi)部必須保持相同的管理策略。層次信任模型主要使用在以下三種環(huán)境：

（1）嚴格的層次結構；

（2）分層管理的PKI商務環(huán)境；

（3）PEM（Privacy-Enhanced Mail，保密性增強郵件）環(huán)境。

對等信任模型：對等信任模型是指兩個或兩個以上對等的信任域間建立的信任關系。相對而言，對等信任關系靈活一些，他可以解決任意已經(jīng)建立信任關系的兩個信任模型之間的交互信任。不同信任域的A1和X1之間的信任關系要通過對等信任域R1和R2的相互認證才能實現(xiàn)，因此這種信任關系在PKI領域中又叫做交叉認證。建立交叉認證的兩個實體間是對等的關系，因為他們既是被驗證的主體，又是進行驗證的客體。對等信任模型不會建立在信任域以外，這是因為如果任意兩個主客體都建立對等信任的話，那么對于N個主客體而言，需要建立N×（N－1）/2個信任鏈。

對等信任模型這種結構非常適合表示動態(tài)變化的信任組織結構，這樣，引入一個可信任域是易于實現(xiàn)的。但是在構建有效的認證路徑時，也就是說，假定A1和Xk是建立信任的雙方，那么，很難在整個信任域中確定R2是否是Xk的最適當?shù)男湃卧础?

網(wǎng)狀信任模型：網(wǎng)狀信任模型可以看成是對等信任模型的擴充。我們沒有必要在任意兩個對等的信任域建立交叉認證，完全可以通過建立一個網(wǎng)絡拓撲結構的信任模型來實現(xiàn)，也就是建立信任域間的間接信任關系。

建立一個恰當合理的信任網(wǎng)絡模型比我們想象的要復雜的多。我們在本章的第二節(jié)曾經(jīng)探討過安全標簽列表的實現(xiàn)，這是引入安全級別和考慮保護敏感信息的必然。同樣，在建立的對等或是非對等的信任集合中，很難想象一個安全級別低（例如C級別）的信任域和一個安全級別高（例如S級別）的信任域，在他們中間建立的信任模型是什么樣子的。因為對整個信任域的信任鏈的可信程度很難不令人質(zhì)疑，S級別可能需要通過使用智能卡才能通過訪問控制最初的驗證，而C級別也許只是進行簡單的IP地址檢驗就可以任意訪問客體的信息資源。在建立信任模型，實現(xiàn)訪問控制的過程中，不但要選擇合適的信任模型，保護客體的資源，也應該避免主體的信息資源暴露在攻擊和危險的情況下；這種情況下，主客體信息的交換有時候更多的依賴于可信第三方。另外，網(wǎng)絡資源和時限也是一個問題，盡管A和B間有三條信任鏈可以實現(xiàn)，但我們總是希望耗用最少的時間，也就是說，走最短的路徑，那么，怎樣來計算這條路徑也是一個困難的問題。

其次，跨越多個可信域根建立的漫長的非層狀的信任路徑被認為是不可信的，顯然在這樣的信任關系實現(xiàn)上，構造合理的信任路徑和檢驗適當?shù)男湃五^都是巨大的挑戰(zhàn)。因為我們不得不對不同的信任錨進行驗證，不得不要建立一個從被信任發(fā)起方開始到信任到達者所在信任域的完整的信任路徑，每一個驗證者還需要建立自己到信任錨的路徑。同時，信任路徑中的封閉環(huán)路一定要檢測出來并丟棄掉，對可能存在的多條路徑也要進行過濾和優(yōu)先級的設置。

信任管理

闡述信任模型很容易產(chǎn)生一個問題，這就是在實際中是由誰在管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信任管理需要解決的問題。

信任管理的產(chǎn)生和現(xiàn)狀：信任管理的產(chǎn)生是一個漫長而復雜的過程，這和企業(yè)的發(fā)展與市場的制約有很大關系。現(xiàn)代企業(yè)有向大型化、集團化發(fā)展的趨勢，一個企業(yè)往往包括多個職能部門，分別完成生產(chǎn)、管理、結算等功能，而這些職能部門又可劃分為多個各司其職的更小的部門，與此同時企業(yè)內(nèi)部的職能劃分越來越細，獨立運作能力也越來越強，可以獨立和別的企業(yè)的相應或相關職能部門進行交易，所以在現(xiàn)實的商業(yè)運作中企業(yè)內(nèi)部的多級管理，和企業(yè)間的無級別貿(mào)易是并存的。這種關系必然反映在信任管理中，怎么來實現(xiàn)和約束正確的信任關系來訪問資源和進行交易，建立相應的信任關系。目前，層次信任模型的建立和管理在一定的信任域內(nèi)建立是正常的，但在信任域間的交叉認證和混和多級信任模型方面，還沒有就信任管理達成一致。