随着计算机网络技术的飞速发展和广泛应用，网络安全已经成为一个重要问题。在开放的分布式网络环境中，认证是最重要的安全机制之一，能有效地确保合法用户访问到安全的服务。　　Kerberos协议是应用最为广泛的认证协议之一，基于可信任第三方，采用对称加密体制，为用户和应用服务提供相互认证，但存在安全隐患——不能提供数字签名和验证，容易受到口令猜测等攻击。PKINIT是最常用的Kerberos改进协议，基于公钥加密体制，可以有效地抵抗口令猜测等攻击。但PKINIT引入了PKI，需要较复杂的处理过程，消耗大量的计算资源。　　针对以上问题，本文提出了基于DH-DSA密钥交换协议的Kerberos协议。首先，对已有的DH-DSA协议进行改进，新的DH-DSA协议具有更高的效率和适用于Kerberos协议。然后，将改进后的DH-DSA协议引入到Kerberos协议的认证服务交换阶段，为客户端和AS(Authentication Server)提供相互认证和分配会话密钥，能够有效地增强Kerberos协议的安全性，抵抗口令猜测等攻击。最后，本文对原Kerberos、PKINIT和改进后的协议进行系统实现。实验结果和理论分析表明，与PKINIT相比，改进后的协议在效率上有了较大的提高，而且更加容易部署。