本文在分析了当前分布式PKI环境下证书验证存在的问题后,提出了一种证书验证代理服务器的方案,由该服务器来执行复杂的证书路径构建和证书路径验证的工作,从而将客户端从复杂的证书验证工作中解放出来,形成真正的“瘦”客户端。本文的研究推动了PKI应用向便携式设备的发展,并解决了在基于分布式交叉认证的PKI混合信任模型下,如何构建跨信任域的证书路径以及如何进行路径验证的问题,此外,本文采用SCVP协议作为客户端与服务器之间的交互规范。论文的具体研究和实现工作包括如下几个方面:深入学习PKI的理论知识,对现有PKI信任模型进行分析、研究,最终选择了一种最具有现实意义和实现价值的PKI信任模型。该模型在域内为严格的层次模型,域间为网状模型。分析了当前证书验证的模式,针对目前存在的“胖”客户端的问题,提出了构建证书验证代理服务器的方案,并在OpenSSL函数库的基础上实现了该服务器。深入研究了SCVP协议,以该协议作为客户端和服务器之间的交互规范。针对本文所选的PKI信任模型,提出了一种路径构建算法,即在域内为前向路径构建,域间为基于深度优先搜索的反向路径构建。深入研究了RFC3280,实现了证书路径的验证算法。对路径构建的过程提出了优化方案,将部分路径验证工作结合到路径构建中去,从而使所构建的路径更加倾向于有效,提高了证书验证代理服务器的效率。依据本文选择的PKI信任模型,给出了一个测试案例,采用LDAP目录服务器作为证书和CRL库,并给出了在几种典型情况下服务器的运行结果。测试结果表明本文所实现的证书验证代理服务器在功能上达到了最初的设计目标。