证书是网格安全的关键技术之一,在网格安全基础设施GSI(Grid SecurityInfrastructure)中,证书包括终端实体证书EECs(End Entity Certificates)和代理证书PCs(Proxy Certificates),EEC和PC保证网格组织单点登录、动态授权机制的实现,所以对网格实体证书撤销机制以及代理证书认证机制的研究,对安全、高效的使用网格服务具有重要意义。本文首先分析了GSI下的一些主要安全机制:EEC和PC各自的内容以及它们的区别,并且分析了目前的证书撤销机制的利弊。针对EEC的撤销机制,为了解决GSI中实体证书撤销机制存在的时间间隔延迟和通信量大的缺陷,提出了一种新的基于m-RSA密钥理论的网格终端实体证书撤销机制MEECRM(m-RSA based End Entity CertificateRevocation Mechanism),并对其安全性进行了证明。在MEECRM中,在MyProxy功能组件下加入一层SEM(SEcurity Mediator)功能模块,SEM是一个半可信的第三方,其作用主要是:协助合法的网格用户完成解密和数字签名功能;检查用户的实体证书状态是否合法。用户没有安全中介SEM的协助就不能访问网格服务,这使得MEECRM能够快速高效的撤销网格环境中的非法实体证书,同时,因为存储在MyProxy证书仓库中的只是证书对应私钥的一部分,使得MEECRM也解决了MyProxy的密钥泄漏安全隐患。对于代理证书链的认证机制,在保证任务能够执行成功的情况下,本文对工作流模式下的网格任务执行过程中,较长的代理证书链按照其子任务执行顺序进行拆分,使并行执行的子任务和串行执行的子任务分别生成不同的代理证书链,降低了证书链认证过程中的认证次数,并通过实验数据证明了新的认证机制提高了代理证书链的认证效率。另外,因为代理证书链长度的减小,使得链中证书在发生安全问题时撤销的代理证书链也会变短,提高了代理证书链的安全性能。