随着全球经济的快速发展、网络化不断推进的过程中,用户需求也趋于多样化和个性化。传统企业仅仅依靠其内部资源的最佳利用,已难以应对快速变化的市场需求和复杂的竞争环境。为了更好地生存和发展,企业必须突破传统的运营模式,采用新的企业组织模式,因此虚拟企业应运而生。虚拟企业是由一些异地、异构的企业为抓住某一市场机遇临时组成一个动态联盟,以实现优势互补和资源共享,从而提高市场竞争力。在虚拟企业环境中,随时存在着用户跨域访问资源的活动,并且由于虚拟企业具有异构性、临时性、动态性和低成本等特点,虚拟企业的安全性比一般企业更为复杂。为保证资源的安全有效共享,首先需要解决用户跨异构域访问资源时的身份认证与会话密钥协商问题。因此设计出满足虚拟企业敏捷性、动态性、成员企业的地域分散性以及不同企业信任机制差异性等特点的跨异构域认证与密钥协商协议,是一项迫切而基础性的工作,是保证虚拟企业资源安全共享的前提,具有重要的理论价值和研究意义。本论文对虚拟企业环境做了简要概述,分析了其特定安全需求以及现有的认证技术。为满足虚拟企业异构性、临时性、动态性、自动化和低成本等特点,本论文提出了一个基于访问授权票据的跨异构域认证及密钥协商方案。首先利用基于公钥认证机制的分布式信任模型,在公钥基础设施PKI (Public Key Infrastructure)域的认证中心CA (Certificate Authority)与采用对称密码体制的Kerberos域的认证服务器AS(Authentication Server)之间建立起第一级信任关系；在此基础上,由CA(或AS)生成外域用户U访问本域资源S的授权票据,并通过设计基于访问授权票据的双向跨域认证及密钥协商协议,建立起U与S之间的第二级信任关系。然后,对所设计协议的安全性及效率进行了分析。利用形式化分析方法对协议的安全性进行逻辑证明,并结合现有的各种协议攻击方法,对协议的抗攻击性进行了理论分析。通过对比已有的相关方案,进一步对所提方案的安全性及效率进行了分析,分析结果表明：本方案能够满足虚拟企业异构性、临时性、动态性、自动化和低成本等特点,并且具有较高的安全性和效率。最后,在Windows环境下利用Visual Studio2005编程软件,通过调用WinNTL5.4和OpenSSL10.0密码函数库仿真实现了认证与密钥协商过程,并结合仿真结果分析了协议的可行性及效率。