身份认证服务是最重要的信息安全服务之一，其作用是验证网络中实体的身份，对抗仿冒攻击，保障合法用户的权益。由麻省理工学院(MIT)1983年提出的Kerberos是目前主流的安全身份认证协议之一，目的是在开放的网络环境中实现用户身份合法性的认证以及通信的保密性。近年来Kerberos经过多个版本的改进，安全性不断完善，且具有良好的易用性和可扩展性，已经得到了非常广泛的应用。　　 本论文针对Kerbeors身份认证协议及其安全性开展研究，主要工作体现在：　　 1)研究结果发现，像其它基于用户口令的安全机制一样，Kerberos协议仍然存在易受密码猜测攻击的固有缺陷。虽然出现了一种针对Kerberos这个问题的改进协议PIGNIT，它将公钥证书应用于Kerberos的初始认证中，在解决密码猜测攻击的同时实现客户端和服务器的双向认证。但它同时带来了颁发和管理证书的开销，证书链的传输也大大增加了通信中交换的信息量，可以说在一定程度上限制了Kerberos的应用。　　 2)提出一种改进Kerberos协议的新方案，它用基于双线性对运算的无证书密码学原理来改进Kerberos的初始认证流程，具体方法是采用无证书签名算法以及密钥协商算法代替用户口令。该方案具有实现双向认证，抵抗密码猜测攻击的特点。　　 3)研究结果表明，与PKINIT相比，有两点优势：第一，不增加颁发和管理证书的复杂开销，同时验证签名不需要传输证书链；第二，服务器上不需要保存用户的私钥，避免了服务器遭到攻击引起的密钥泄露风险。　　 本文的研究表明，所提出的基于双线性对的改进Kerberos协议，在增加安全性的同时，不需要传输及验证证书链，可以用于无线网络、RFID、移动终端等开放性的网络环境中。