数字证书状态验证是PKI的核心组成部分,用于为数字证书使用者提供相关证书的撤销信息。OCSP是一种常见的数字证书状态验证机制,可以通过简单的查询向用户提供即时的数字证书状态信息。但由于OCSP在PKIX协议族中是一个比较年轻的成员,因此仍具有一定的局限性。本文首先在深入研究OCSP协议的基础上,针对目前OCSP协议存在的问题,提出了一种改进型OCSP协议,该协议对OCSP响应消息进行改进,使之包括基本类型OCSP响应和A类型OCSP响应。其次,在该改进型OCSP协议基础上,设计并实现了一个高效的在线证书状态验证系统,该系统中的改进型OCSP响应器利用CA的证书库作为响应器的信息源,为用户返回最新的证书状态信息;同时,响应器采用Hash表缓存机制、预签名技术和多线程机制,较好地提高了其性能,并能有效抵御重传攻击和拒绝服务攻击。然后,基于此验证系统,提出了其在交叉认证中的应用方案,使得响应器不仅可以检测出证书的撤销状态,实现不同信任域间的证书状态查询,同时还能建立证书路径并验证其有效性,从而解决了交叉认证中构建跨信任域的证书路径难的问题。最后,分别对基于改进型OCSP的在线证书状态验证系统及其在交叉认证中的应用进行测试,并对测试结果进行分析。本文设计的高性能OCSP系统降低了平均响应时间,确保了响应数据的正确性和即时性,对于促进电子商务乃至电子政务的发展有着重要意义。同时本文实现的该系统在交叉认证中的应用方案,进一步完善了OCSP响应器的功能,减轻了客户端的负担,对数字证书的研究具有一定的实用价值。