随着当今网络的不断普及,网络安全已成为了一个信息系统的重要研究课题。网络安全的一个重要属性之一是真实性,而身份认证是鉴别一个身份是否真实有效的过程,基于公钥基础设施PKI数字证书认证体制,能确保网络上传输数据机密性、真实性、完整性和不可否认性,提供在开放式的网络环境下身份认证、鉴别服务,目前该体制已经逐渐成为了网络信息安全身份认证领域的热门解决方案。本文主要研究PKI技术中利用数字证书鉴别用户身份的流程和原理,并将PKI技术中证书验证,签名和角色控制,资源访问相结合,设计并实现了一个增强的基于PKI技术的身份认证系统,论文的具体研究和实现工作包括如下几个方面:1)对目前几种流行的身份认证方法进行了研究,分析了其优缺点,找出自己研究的切入点;2)介绍了PKI技术所涉及的相关理论。分析了对PKI技术所涉及的对称、非对称算法,并研究这些算法的适用性和效率,详细讨论了基于x509格式数字证书;3)着重介绍了基于数字证书的PKI认证技术。对PKI认证体系的标准和组成、PKI认证体系的核心组成部分CA的结构进行了详细的分析,详细讨论了PKI技术中用户身份鉴别的原理和用途;4)设计并实现一个的基于PKI技术的身份认证系统。该系统完全利用PKI体系的非对称体制,实现用户身份的鉴别以及信息传输过程中的机密性,完整性和不可否认性。该认证系统采用了双因子认证,Kerberos令牌协议确保对合法用户身份的鉴别;采用临时密钥会话策略保证用户身份的完整鉴别和传输的保密性,采用单点登录以及SOCK协议代理的技术,实现了对业务系统的访问无关性,采用RBAC角色与访问控制系统,对用户实施更加细粒度的访问访问控制。分析了针对课题系统的各种安全威胁,并提出了应对措施。