随着Internet的发展,电子商务的兴起,经常需要在开放网络环境中不明身份的实体之间通信,安全问题也因此日益突出;公钥基础设施(PKI)通过第三方信任机构—认证中心(CA)发布证书将用户公钥和用户的身份绑定在一起,从而可以为网上各种应用提供机密性、完整性和身份鉴别等方面有效安全保障.目前PKI理论已基本成熟,但实际应用中仍有很多问题需要解决,尤其在大规模分布式环境中基于PKI的安全系统往往是可扩展性较差且存在性能瓶颈,实践表明证书撤消和信任路径建立是影响PKI性能的两个重要因素.在分析和比较了常用的证书撤消列表及其改进、在线证书状态协议、证书撤消树等几种证书撤消模型的基础上,该文提出了一种使用AVL平衡二叉散列树对证书撤消树进行改进的方法,为验证方提供简短的证书撤消证据,实现通信耗费的降低.针对构建证书路径时存在多条路径、出现循环等问题,该文提出了一个最佳路径优先的算法来实现路径的优化,通过对路径中的侯选证书按一定规则进行排序和筛选,选择最优证书作为当前路径中试探证书,采用深度遍历算法可高效地找到有效路径.在理论研究的基础上,该文从安全性和扩展性角度提出了一个基于WEB的证书管理系统的框架模型,该系统采用Client/Server结构,服务器端由CA服务器、RA服务器、公共服务器组成,并实现了证书申请、证书撤消申请、签发证书、签发证书撤消列表、验证证书等证书管理功能,对证书、证书撤消列表等信息进行有效管理.论文中详细论述了CA、RA、EE的功能设计、实现方案、开发工具和开发环境.