PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。CA即证书授证中心,是一个负责发放和管理数字证书的权威机构,它作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,以实现公钥的分发并证明其合法性。近年来,国家在PKI行业技术标准方面非常重视。由国家信息中心主办的中国PKI论坛正在进行相关标准的研究和制定。本论文是参加CFCA国产863攻关工程重大项目CFCA PKI-CA技术研究开发,通过实践应用工作的全面总结,主要是围绕设计和实现入侵容忍证书签发系统的推广实施方案。本文的主要工作包括：(1)提出了一种改进的ElGamal签名方案。ElGamal签名方案是应用最为广泛的数字签名方案,其理论基础是大数分解的困难性。ElGamal的主要问题是数字签名方案是非确定性的,即对同一明文消息,选取不同随机参数将获得不同的签名,并且每一个签名都只能选定一个随机数,这给ElGamal数字签名方案的安全性带来很大的隐患。为提高签名方案的安全性,本文首先对ElGamal型数字签名算法进行改进,主要通过采用两个随机数来加强随机数与私钥之间的关联,使得通过密文来反推随机数以及密钥更加困难。通过与基本ElGamal型数字签名算法和一种改进型的ElGamal型数字签名算法相比较,本章提出的算法能够更为有效地抵抗诸如密钥攻击、同态攻击等攻击手段,但同时算法复杂度没有变化,这提高了ElGamal型数字签名算法的安全性。(2)提出了一种新的不可否认协议。在PKI体系中利用不可否认协议来防止另一方事成后成功否认曾经发生过的交易事实。PKI中的数字签名、数字时间戳等技术为电子证据的生成提供了必要的支撑。本文详细分析了3种典型的不可否认协议,得出TTP的介入方式是影响不可否认协议的关键因数；相对于线内TTP和线上TTP,离线TTP由于仅在仲裁时才需要TTP介入,从而对TTP的性能要求最低,因此一般具有更低的信息交互次数和更高的协议计算性能。基于上述分析,本文提出了一种保证公平性的离线TTP不可否认协议。本协议通过引进了放弃子协议,双方都可单方面灵活有效地终止协议而不破坏公平性。分析结果表明提出的协议具有信道可恢复性、公平性和不可否认性。同时由于TTP离线工作,这样减小了带宽,使协议的运行具有高效性。(3)提出了一种改进的证书撤销机制。证书撤销机制是PKI中的重要组成部分。当数字证书用户的身份信息改变时,用户应马上向CA申请撤销证书,CA也应立刻把此证书的状态标识为撤销状态。数字证书状态被标识为撤销状态表明了证书有效期的结束。本文分析了广泛应用的几种证书撤销机制,提出了一种增量CRL和OCSP相结合的证书撤销算法,该算法适合应用于类似CFCA的大型CA的证书撤销。(4)详细分析和设计了CFCA-PKI系统,给出了详细的改进方案。详细讨论中国金融认证中心国入侵容忍证书签发系统安全CA的改进方案,包括系统结构和原理、工作协议和CA系统安全性分析。给出中国金融认证中心国入侵容忍证书签发系统安全CA改进方案的系统结构,并讨论了方案的特点。实现了在新的系统方案下的证书相关系统。