本文研究分析了交叉认证技术中的信任模型、路径构造与路径验证，提出了一种针对域内为层次结构、域间为网状结构的混合模型下的交叉认证设计，它通过出示默认证书链，并使用加权信任列表来构造路径，不仅能解决传统的直接交叉认证，还能实现自动搜索验证路径的交叉认证，与传统搜索方式相比提高了效率。结合本课题的研究，设计并实现了一个CA交叉认证原型系统，并给出了在原型系统下进行交叉认证的测试结果与分析。鉴于当前交叉认证不能普遍推广、支持交叉认证的应用太少，论文最后还给出了一种在PKIX环境下支持交叉认证的IPSec VPN应用程序接口设计。论文的具体研究和实现工作包括如下几个方面： 对现有信任模型的优缺点分析、研究与选择。 交叉证书的生成、解析与验证。设计的原型系统交叉证书生成模块提供了两种交叉认证方式，前者是基于协商后的直接交叉认证，后者是通过路径搜索的自动交叉认证。 交叉证书的发布存取与目录服务。设计了原型系统LDAP发布接口、存储的LDAP目录树结构以及证书的发布流程、 交叉认证的路径构造与路径验证。路径构造算法通过出示默认证书链以及搜索加权信任列表来生成包含交叉证书的证书链，并给出了原型系统实现的具体处理流程。 支持交叉认证的IPSec VPN应用程序接口设计。通过分析IKE协商机制，基于构造本地信任列表的方法来设计应用程序接口。 原型系统测试和基于原型系统PKIX环境的IPSec VPN测试。