一个设计良好的公钥体系(PKI)对实现电子商务安全,网络安全,身份认证等至关重要.从公钥体系的概念被提出那天开始,它的发展和应用就一直受到两个瓶颈问题的制约,其中一个就是该文要讨论的证书撤销机制,另一个是对大规模CA的管理问题.在基于CRL的机制中,证书撤销信息的发布是通过定期发布经过数字签名的,包含所有撤销信息的列表文件进行.对CRL机制最主要的批评来源于它低下的性能.人们已经提出三种普适的方法和别的一些技术来提高CRL机制的一般性能.比如,可以通过segmenting CRL来提高可扩展性;可以通过发布delta-update of CRL来提高时效性;可以通过使用over-issuing降低峰值请求率来提高性能.另外,还有几种别的方法可以提高CRL机制的可管理性和性能.基于CRL的机制比较灵活,信息明确度高,并且可以选用或同时使用几种CRL扩展.采用在线撤销状态查询协议,终端用户可以针对特定的证书提出撤销状态查询并得到包含所需信息的回答.这类协议的局限性在于他们只提供一个实时的查询/回复机制,而不是一个完备的实时撤销机制.这类协议必须配备有一个用于获取证书撤销信息的后台机制,这个后台机制可能是一个基于CRL的机制.基于精简数据结构的证书撤销机制发展得很快.这类机制以压缩方式(比如哈希树)表示撤销信息,并试图向终端用户提供一个最小的关于撤销状态的证明.这类机制的目的在于避免引入如OCSP和完备撤销证书等带来的大运算负荷,同时避免引入如CRL等带来的通信负荷.现有各种证书撤销机制的特性差异很大.不同的环境对证书撤销机制有不同的需求,所以期望存在一个普适的,最优的撤销机制是不现实的.为了选择一个最优的证书撤销机制解决方案,需要考察不同的机制,选择最适合的机制,或者选择几种机制的组合方案.该文将对目前国际上已经得到的研究成果进行介绍,比较,并对在何种情况下采用何种撤销机制提出自己的建议.