公钥基础设施PK.利用数字证书为网络安全交易提供基本保障.由于私钥泄露等原因证书可被提前撤销,在使用之前需验证证书状态.证书中心CA必须采用一种证书撤销机制,及时、安全发布证书状态信息.证书撤销机制是影响PKI大规模发展的关键因素,其耗费约占PKI总耗费的90%.该文综合分析了PKI中证书撤销机制,重点针对当前应用广泛的证书撤销列表CRL及增量CRL、分段CRL、重叠发布CRL,从峰值请求、峰值带宽、用户查询代价及风险方面进行了定量比较,指出了各种机制的局限性.基于整体性能进行优化,提出了一种重叠发布分段CRL证书撤销方案,该方案具有较好的可扩展性、及时性,能够根据PKI规模及应用需求灵活使用.证书撤销树是一种具有较好应用前景的证书撤销机制.与CRL相比,客户端下载代价较小,CA和证书撤销库之间更新少,但是撤销证书增加或删除时更新树的计算量大、对验证方存在欺骗、响应有效证书的通信代价较高.该文提出了一种基于动态数据结构的证书撤销方案,该方案基于红黑树或二叉平衡树实现,减小了更新证书撤销树时CA和证书撤销库的计算代价;在客户端增加了对相邻节点的判断算法,防止证书撤销库对验证方欺骗;对于正常状态的证书,改进了客户端判断证明算法,减少了证书撤销库与验证方之间通信量,同时也减小了客户端计算量.通过模拟实验比较了两种方案,实验表明改进方案减少了hash计算次数,通信代价小.最后,该文详细设计了证书撤销列表CRL以及增量CRL、分段CRL、重复颁发CRL体系,给出了证书撤销列表的编解码函数接口;基于二叉平衡撤销树,详细设计了客户端以及证书撤销库之间通信协议和相关类,实现了基于请求/响应结构的证书撤销原型系统,并分析了系统的性能.