在当前分布式网络环境中，Kerberos是应用最广泛的身份认证协议。Kerberos是一种基于可信赖第三方的认证协议，使用对称密钥加密算法DES实现KDC的认证服务，提供了网络通信方之间相互的身份认证，在一定程度上保证了网络的安全。 由于Kerberos 存在口令猜测、重放攻击、时间同步和密钥存储等方面的安全缺陷，近年来许多研究者提出了Kerberos与公钥系统结合的Kerberos公钥扩展方案，部分改善了Kerberos系统的安全性能，但是并没有结合PKI来管理证书和撤销列表，在系统性能瓶颈上的处理也还存在不足。 本文阐述了Kerberos协议、PKI技术以及Kerberos的几种公钥扩展协议的认证方式，分析了Kerberos协议存在的几个问题。针对Kerberos协议存在的问题，通过把PKI技术、访问控制与Kerberos协议相结合，提出了一种基于公钥的Kerberos改进协议，阐述了其在认证服务交换、票据许可服务交换及客户端与应用服务器交换的思想。经与原Kerberos协议在性能方面的对比分析表明，在不改变其原有框架的前提下，采用了双因子认证方式的改进协议在密钥存储、时钟同步、口令猜测、票据的不可否认性等多项性能方面加强了Kerberos的安全性。 在该改进协议的基础上，建立了一个安全高效、易于扩展和具有实用性的身份认证系统模型，模型包括客户端、服务器端和证书管理中心三个部分。文章还阐述了认证模型的总体设计方案，认证系统的流程，并对认证系统模型的模块结构、功能模块以及在应用系统中的集成应用进行了设计和实现。