从国际的发展和应用趋势来看,建立以非对称密码体制为基础的公开密钥管理框架系统(Public Key Infrastructure-PKI)是保证网络数据安全传输和网络应用可信性公认有效的解决方案。PKI主要提供身份认证、数据完整性保护、数据保密性保护和无否认等功能。PKI体系理论正在向规模化和多元化方向发展,目前已经建立了一整套国际标准,很多公司和机构也已经开发出成熟的PKI系统并得到很好的商业和科研应用。但在PKI理论发展和实际应用上,存在着不统一性和不平衡性。当今PKI的研究主要集中在对PKI服务器管理策略和证书结构实现上,对于证书在客户方的应用和管理、安全性等方面研究相对不足。目前,在证书的客户方支持上,基本上是依靠浏览器(主要是MS Internet Explorer和Netscaper Navigator)的支持,由于浏览器在证书管理方面的信息不透明性和加密算法的不可替换性,在很大程度上不能满足用户的安全需求。另一方面,由于浏览器不提供安全应用接口,因此它无法提供开发新应用的平台。基于以上需求,本文提出了PKI端系统结构的研究和设计,并且针对于PKI端系统信息安全和信任路径的构造,分别提出了中间层安全方案和基于信任(二叉)树的证书路径构建方案。安全中间层的设计思想来源于网络分层方法和SSL协议的透明接入思想,然而SSL协议面向于传输层安全,而且在PKI的应用中基本上同时需绑定HTTP协议。在本文中,将SSL协议的安全接口封装到应用层,能够直接提供应用接口,实现应用的多样性。同时,安全中间层着眼于本地信息安全,对文件存在状态做全局性管理,并依据中间件实现原理,设计了网络传输发送和接收的安全代理功能,并支持对网络数据的统一调配,同时还研究了算法的相对安全性和用户的加密算法接口。按照端系统的应用需求,并对比浏览器的证书链和复杂信任关系的证书图方案,本文详细讨论了端系统实现的基于信任(二叉)树的证书信任路径构建方式。从有效性和效率上,信任(二叉)树的构造方式避免了证书链的简单化和信任关系缺失,也免去了证书图的结构复杂以及检索和构造信任关系的最小生成树的困难。本文研究了信任(二叉)树的构造和检索方法和基于信任(二叉)树的证书路径构造算法。最后基于上述研究成果并参照现行的PKI标准和CA证书标准,设计了一个自主应用的公钥证书体系的端系统CAClient。该系统为三层结构,安全中间层向上对应用层提供封装的接口,向下提供给底层传输的是无差别的消息封包,在中间层应用安全中间件的设计思想,对系统处理的文件加以全局管理和调度。在证书管理机制上,CAClient建立了完整的客户证书的应用方案。另外,CAClient采用端到端的传输模式,系统可以发起和监听对等端的连接请求,建立多任务的对等文件传输。本文第一章简要介绍网络安全和PKI体系的技术背景,针对PKI端系统的研究提出本文的研究方向和所做的工作;第二章讨论了PKI端系统安全中间层和文件状态管理,以及用户加密接口方面的有关问题;第三章研究了信任(二叉)树的构造和检索方法,以及基于信任(二叉)树的证书路径构造算法;第四章是对CAClient系统的设计与模块的介绍,包括系统的实现方式和结构等方面;最后,在第五章是对论文所完成的工作的总结,和对未来工作的展望。