目前,基于X.509标准的公钥基础设施已成为网络安全建设的基础与核心,是电子商务安全实施的基本保障,对PKIX技术的研究和开发已成为当前信息安全领域的热点。 本文旨在设计并实现一个应用于组织内部、具有核心功能、提供简单安全服务的微型PKIX系统,以杜绝应用国外PKIX产品可能存在的安全隐患,为用户提供定制服务以及很好的系统移植性,为实现异构的跨平台的终端应用提供基础保障。本系统的核心功能是对证书生命周期的管理,所以也将其称为公钥证书管理系统。 本文首先基于对PKIX的理解认识,并考虑到把密码算法做成独立的模块,提出了分层的设计思想。把公钥证书管理系统从上到下分为三个层次:业务管理层、安全接口层和密码服务层。利用安全接口层将密码运算与业务管理隔离开来。这一中间层不仅对上层应用屏蔽了密码算法的复杂性,而且对下层密码算法提供了统一的接口,从而实现了密码算法的独立性,便于算法的升级和扩充。接着,作者提出了基于Java平台构建公钥证书管理系统的方法,并且着重阐述了如何利用Java来方便并且安全地在CA/RA之间传递信息,以及如何扩展Java认证与授权服务来为CA的建设提供灵活可靠的用户认证和授权系统。最后,本文对公钥证书管理系统的信任扩展进行了探讨,并在原有的基于图搜索的路径构造算法的基础上,给合电话系统分区思想提出了一种改进方案。该方案将CA分区进行证书路径构造,不仅具有可扩展性的优点,而且提高了证书路径构造算法的效率,从而满足了公钥证书管理系统应用的发展要求。