计算机网络有效地实现了资源共享,也随之带来了一系列信息安全问题。在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击,成为网络安全的主要内容。网络信息安全技术一般包括身份认证、授权控制、审计、数据保密和数据完整性等几个方面。其中,身份认证是网络安全的基石,其它的安全服务都要依赖于它。身份认证协议以及系统的安全性和可扩展性,已经成为了影响网络进一步发展的重要因素。Kerberos是基于可信第三方KDC的认证协议,使用对称密钥加密算法,提供了网络通信方之间相互的身份认证手段,而且并不依赖于主机操作系统和地址,在一定程度上保证了网络的安全。但是,由于Kerberos自身的局限性,又影响了它在Internet中的推广应用。本文在对Kerberos协议的研究基础上,利用基于公钥密码的认证技术,并结合椭圆曲线密码体制,对开放网络环境下的身份认证机制进行了全面的研究。本文研究的主要内容有:1、研究了对称公钥密码体制和现有Kerberos协议分析和比较了三种被认为是安全有效的公钥密码算法,指出ECC比RSA、ElGamal等传统公钥密码算法在安全性、计算速度、存储需求、带宽需求等方面所具有的优势。在此基础上,重点讨论了椭圆曲线密码体制的相关问题,如椭圆曲线数学原理、椭圆曲线离散对数问题、椭圆曲线密码体制的加解密过程、椭圆曲线上的公钥密码系统等。研究Kerberos协议的认证思想,并以Kerberos V5为例,详细分析了其域内认证和域间认证两种模式的认证过程,指出它的应用环境的局限性、口令攻击的脆弱性、密钥管理的困难性等不足。2、提出了一个新的基于公钥密码的Kerberos协议模型鉴于Kerberos的不足,目前有很多对Kerberos协议的改进方案。这些方案都是基于公钥密码的,比较著名的有Yaksha算法,它是RSA公钥密码算法的一种变形。本文分析了Yaksha算法在Kerberos上的应用及其优缺点,认为ECC和Kerberos结合是一个较好的解决方案。因此,本文在ECC的基础上,结合公钥构架PKI,对现有Kerberos协议进行改进,提出了在改进Kerberos协议的认证过程中如何使用公钥密码体制保证身份认证的安全性。同时,采用BAN逻辑对改进协议的正确性和安全性进行了证明。3、基于新的Kerberos协议模型设计开发了一个新型的Kerberos认证系统建立和实现了一个基于公钥密码体制的Kerberos身份认证系统的模型,提出模型的总体架构。该模型不是对Kerberos协议的直接修改,而是在客户端和应用服务器端设置代理软件。代理软件模拟实现一个基于公钥体制的改进Kerberos协议的认证过程,并且和原有Kerberos协议结合,实现了双重安全体系。改进的Kerberos身份认证系统继承了Kerberos协议,但在安全性上有较大的突破,在一定程度上改善了Kerberos协议的