网络信息时代,远程访问为人们办公、学习、娱乐等提供了一种方便、快捷的获取资源的方式。在一个公开的网络环境,服务器上的资源希望只对网络中的合法用户开放,并能阻止非法用户进行盗用或破坏资源;另一方面合法的用户要能信任所接收到的资源是正确的且没有经过别人的篡改。因此基于这两方面的要求,在分布式网络中,必须提供一种机制来对用户的身份进行认证。互联网的不断发展,也加快了公司、企业的信息化建设,信息安全问题也越来越引起了人们的重视。但通常一个公司各个应用系统的建立并不是一蹴而就的,总是在一步一步的建设或完善,这就造成了各个系统的身份认证都是相互独立的。在常规的安全模式下,用户要访问多个应用系统,需要进行多次登录认证,这样用户数据就会大量重复和冗余,系统管理也比较困难。Kerberos协议是一种基于Client /Server模式的三方验证协议,应用一个三路处理方法,根据称为密匙分配中心的第三方服务来验证实体间相互的身份,并建立密匙以保证计算机间安全通信。用户登录时只需一次身份认证,就可以在多个应用服务间自由穿梭,不必重复输入用户名和密码来验证身份,Kerberos在服务中起着可信仲裁者的作用。本文结合椭圆曲线密码体制及USBKEY的身份认证技术,在原Kerberos协议的基础上进行了一定的改进,解决了原Kerberos协议在实际应用中较弱的物理身份认证、单密钥量大及网络时钟不统一造成的使用瓶颈问题,并对改进后的协议安全性在逻辑上进行了理论证明,证明结论和系统的运行结果均证明改进协议的可行性。