公鑰密碼構建信任路徑的四種方法是什么

公鑰密碼構建信任路徑的四種方法如下：

• 證書鏈：這種方法被商業CA和大多數SSL所采用，還有S/MIME也是采用這種認證方式的。證書鏈由一系列從根CA到用戶的證書所組成。為了能夠認證不同信任域內的用戶證書，客戶端要保存所有需要的自簽根證書，還要有能夠驗證其他域CA自簽證書所用到的簽名算法。大多數情況下，可以通過目錄服務器來訪問分布式的數據庫，或用S/MIME電子郵件消息來發布和得到證書鏈。還有一種是將證書鏈的構建過程放到發證和制作數字信封當中，這樣做可以使客戶端變得十分簡單而且易于實現，因為剩下的工作只是做簽名驗證。但是，在大規模的分布式環境中，維護和管理本地每一個用戶的數個根CA證書鏈，而且還要實施密鑰保護和維持證書安全策略是很困難的。用戶必須經常地從系統管理員那里更新自簽證書，一旦用戶沒有得到正確及時的更新信息，使用了不可信任的根證書所帶來的風險就是難以估量的。

• 路徑圖：這種實施方法是指客戶端程序通過檢查并存儲用戶信任域所有的層次關系，產生一幅節點路徑圖，節點代表CA和用戶，弧代表證書。根據某種算法，可以合并包含節點的新的路徑圖和原有的路徑圖，來產生更新的路徑圖。對于每一個新插入路徑圖的節點都要進行完整性校驗，在整個路徑構建完畢后，就可以進行路徑驗證了。在這種方法下可能會有多重路徑，所以要有相應的算法來決定最短路徑。如果最短路徑無效，那么就要對次短路徑進行檢測，從最短路徑到最長路徑的序列中找到可以通過驗證的最短路徑。層次路徑圖是一種通用的、適應性強的確定證書信任路徑的方法，它獨立于證書策略所決定的層次結構的形式。

• 證書路徑驗證服務：用一個專用的DCS服務器來處理證書信任路徑的構建和驗證，并提供證書的更新信息。為了認證一個PKI用戶，客戶端將一個認證請求連同自己的證書發送給DCS，DCS負責從目錄服務器獲取所有需要的證書，構建證書信任路徑并加以驗證，將結果發送回用戶，在這種情況下，客戶端是極其簡單的，因為它不需要構建證書路徑，也不需要驗證證書。但從另一方面看，整個系統的安全性依賴于一個服務器，如果該服務器受到拒絕服務攻擊或者欺騙攻擊，所有的用戶和實體都將受到損害，所以要實施DCS，就必須要使用附加的強大的安全手段來保護服務器，另外，要實施DCS就肯定需要一個高性能的服務器，這樣無疑增加了系統成本。

• 目錄服務器路徑構建：由目錄服務器來進行路徑的構建，在接收到請求之后，目錄服務器負責構建證書路徑，并將路徑上的所有證書都發回給客戶端，客戶端負責對證書路徑進行驗證。因為驗證操作是在客戶端完成的，所以對于目錄服務器自身的安全性沒有什么損害。在大規模分布式環境下，在目錄服務器上實施這樣的操作，將會給目錄服務器造成極大的負擔，從而影響目錄服務器的主要功能—提供對分布式存儲的訪問。另外，要想在目錄服務器中實現這項功能，就必須對已有的目錄服務器的協議進行修改，這勢必會對其開放性和互操作性造成影響。

回答所涉及的環境：聯想天逸510S、Windows 10。