公钥基础设施利用公钥加密技术和数字签名技术给Internet应用的急剧发展提供了机密性、真实性、完整性和不可否认性等四大技术支持,加强系统之间、部门之间、国家之间不同的PKI信任域的互操作,已经成为目前PKI建设亟待解决的重要问题。交叉认证技术扩展了不同的PKI信任域的范围,是实现PKI规模化发展的关键技术。 交叉认证中交叉证书的签发,证书信息的撤消的安全性由不同的PKI信任域的根CA的数字签名来保证的,如果根CA密钥泄露,整个PKI体系的信任关系将全部失效。本文分析了交叉认证技术实现的策略,以数学中的难解问题为理论基础,研究了具有特殊性质的前向安全数字签名算法,提出应用前向安全数字签名算法的交叉认证思想,新方案保持了数字签名的一般特点,并具有前向安全性。前向安全数字签名方案具有密钥更新和前向安全性的特点,确保了签名密钥泄露的情况下将造成的损失减少到最小。 建立在公钥基础设施上的用户只有通过证书路径才能获得公钥证书,并对证书进行验证,然后利用有效的公钥进行信息处理。本文在分析基于图论的证书路径构造算法局限性的基础上,初步设计了交叉认证中CA间相互协作的动态路径构造算法,该算法不但能解决交叉认证中多路径的问题,而且通过CA间传递路径构造请求信息具有动态性,本文在Windows2000,Jbulilder9.0环境下,利用Java的安全机制验证了该算法。