公钥基础设施(PKI)利用数字证书为网络安全交易提供基本保障。由于私钥泄露或者证书所有者状态改变等原因，证书必须在其失效之前被废除。因此，需要建立一种撤销证书的查询机制，以维护系统的安全运行。 本文介绍了当前PKI中的四种主要证书撤销机制(证书撤销列表、在线查询机制、证书撤销系统、证书撤销树)，并分析了各方案的优缺点，针对具体的PKI系统，给出了一个选择证书撤销机制的参考方案。 证书撤销列表(CRL)是目前PKI系统中应用最广泛的一种证书撤销机制。基于CRL分布点的思想，本文提出了一种基于分段的CRL改进方案。该方案缩短了用户查询证书的响应时间，减少了删除一个到期的证书(或插入一个刚被撤销的证书)时，CRL中其它撤销证书的平均移动次数。 证书撤销树是一种具有较好应用前景的证书撤销机制。与CRL相比，客户端下载代价较小，CA和证书撤销库之间的更新少。本文提出了一个基于平衡二叉排序Hash树的证书撤销解决方案，对于在线查询系统，该方案减少了证书状态查询中平均的比较次数，降低了证书状态证明的通信成本。试验结果表明方案有效。