目前,公钥基础设施(PKI,Public Key Infrastructure)已成为网络安全建设的基础与核心,是电子商务安全实施的基本保障,对PKI技术的研究和开发已成为当前信息安全领域的热点。PKI的核心机制是认证,也就是采用数字签名技术来验证对方数字证书中公钥信息的有效性,从而确认双方的身份。如果通信双方不属于同一信任域,就要采用交叉认证机制。证书信任路径处理是实现交叉认证的核心技术。所谓证书信任路径是指包含从认证方信任锚到被认证方之间的所有证书的集合。由于证书路径处理固有的复杂性与耗时性,进行跨PKI信任域的交叉认证是很困难的,这就严重影响了PKI系统的效率及其深入广泛的应用。因此,设计一个通用高效的证书路径处理算法是非常必要和迫切的。论文基于一种适应性更强的交叉认证模式—代理路径发现与验证,提出了优化的信任路径构建方案,可以在空间和时间、效率与安全性上得到比较好的平衡。论文的主要工作有:① 阐述了PKI相关的技术理论及现阶段的主要应用,完整地介绍了X.509V3数字证书;② 介绍了PKI信任模型的基本概念,阐释了信任模型的选择与交叉认证的关系,然后详细讨论了几种PKI基本信任模型。对于新的交叉认证模式—证书路径代理发现与验证,论文详细解释了其特点及其工作原理;③ 交叉认证的核心技术是证书路径构建,论文讨论了几种已有的构建算法,并给出了每种算法的优缺点及适用场合;④ 提出了分布式交叉认证的优化方案,然后分别从设计思路、实现前提、关键技术因素、优先级排序、匹配规则、回路检测等方面进行了详细论述,并给出了该方案的算法描述及流程图;⑤ 最后,对优化方案进行实验验证,并对结果进行对比分析,可以看出该方案有助于提高交叉认证的效率。