身份认证是网络安全的基石，是网络通信双方在通信时验证对方身份的技术。Kerberos是基于可信第三方KDC使用对称密钥加密算法的认证协议，适合在一个物理网络并不安全的环境下使用。影响Kerberos可升级的潜在限制因素是它使用对称密钥加密，建立和维护大量共享密钥的难题影响了Kerberos在Internet中的推广应用。目前人们已经提出了很多Kerberos公钥扩展方案来改善了Kerberos系统，但是没有结合PKI来管理证书或者撤销列表。本文针对Kerberos本身上的弱点和与公钥结合上的不足，从Kerberos与公钥结合互操作性上进行研究，主要完成以下工作： (1)．对Kerberos的设计思想，基本认证协议作了详细的探讨，并且分析了协议的安全性和缺陷。对PKI的体系结构以及它在证书层次、证书管理、以及标准化方面做了探讨。并对现有的一些Kerberos公钥扩展方案的设计思想和不足之处进行了分析。 (2)．采用了CMS标准来定义PKINIT协议中的高层消息格式可以获得具有高度互操作性的Kerberos公钥扩展方案。在传递的公钥认证相关消息的签名和信封数据部分的格式采用加密消息语法中的SignedData格式和EnvelopedData格式来封装，这样为Kerberos与PKI的透明结合提供了途径。 (3)．在Kerberos公钥认证的基础上，考虑到Kerberos服务器在认证请求增多的时候，由于采用了公钥算法，可能会出现的计算性能瓶颈问题。我们设计了一个应用服务器直接认证的方案，该方案可以将Kerberos服务器上的计算负载和集中式风险转移到应用服务器上，以满足不同安全环境的需求。 在身份认证系统的设计中，我们应该根据实际的需求和现实条件，选择当前合适的技术方案，同时为将来的过渡和移植留下空间。