该文对证书验证过程、存储搜索过程和密码学的基本方法、相关协议进行了深入的分析研究,在此基础上,提出并实现了一个基于LDAP目录服务的NPKI模型,该模型将LDAP目录服务与NPKI有机地结合起来,在不改变原有系统层次结构和信任关系的前提下,通过增发嵌套证书,形成新的简单易行的证书证明链,简化了证书的证明过程、证书的撤消过程以及其它的证书管理工作,解决了PKI在实施和应用过程中性能和效率低下等问题,为用户提供高效、安全、可靠的证书服务.该系统在颁发嵌套证书的同时进行证书链的安全性证明,并采用散列算法有效地简化了证书证书链的验证过程;同时,在证书数目大量增多的情况下,采用LDAP目录存放各种证书和证书撤销列表,运用LDAP目录服务的"单一身份"观念,通过对目录信息的分割和推荐,实现了分布式目录服务,极大地提高了目录服务的可靠性,简化了目录服务系统和目录用户的管理,并且在一定程度上解决了负载均衡问题.模型采用分层的体系结构和模块化的设计方案,各层之间相互独立,高层通过层间接口使用底层提供的服务.对于模型中的证书、CRL的存储和检索,采用Web浏览器-Web服务器(目录客户端)-目录服务器的三层模式实现,充分考虑了用户界面问题,按标准规范实现,并采取模块化设计,具有安全性、透明性、灵活性、互操作性、可移植性和可扩展性的特点.作为对上述理论的验证,该文实现了一个基于Linux的实例系统----NPKI.