权限控制是一个判断用户是否为合法用户的过程,较为简单的权限控制方式是系统通过检验用户的用户名和口令。复杂一些的权限控制方法采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己所拥有的权限。统一认证模式是统一权限控制机制的一个最基本的应用,它以统一权限控制服务为核心来进行服务。本文主要研究了基于无证书加密体制与Kerberos认证协议,通过系统地研究无证书加密体制,提出了一种新的无证书加密方法,并将其运用到Kerberos认证协议中,对原有的Kerberos进行了改进,提出了在密钥管理中心不可信情况下的一种Kerberos协议,最后将本协议应用在统一权限平台中,将理论扩展到了应用。具体内容包括以下三点:(1)为了解决Kerberos原有版本中的密钥分配和密钥管理问题,本文提出了一种新的无证书加密方法。这种方法基于椭圆曲线密码体制,与基于对称密码体制的加密方法相比较,本算法在建立阶段不需要进行事先的密钥共享。另外,在算法中,我们假设KGC是不可信的,KGC也不会得到任何关于实体私钥的有关信息。因此,解决了密钥分配和密钥托管问题,同时在请求与分发票据阶段,协议不会传输任何关于实体私钥的信息,避免了针对密钥的攻击,提升了系统安全性。(2)针对现有统一权限平台中的用户身份认证和授权问题,本文提出了新的无证书Kerberos协议,将用户的授权与认证分开进行,用户在认证服务器和票据许可服务器获得身份的认证,在应用服务器取得授权,进而可以对资源进行操作。这样一来,减少了应用服务器的计算负担和储存负担,本协议还拥有很好的可扩展性,对于需要经常加入新的实体的系统十分友好,另外,通过对原有统一权限系统平台进行改进,提升了系统的安全性。(3)为了验证以上协议的可行性,本文将上述的无证书Kerberos协议在统一权限平台实验中进行了应用实验。我们基于无证书密码体制的安全性,结合Kerberos协议的思想,实现了系统的传输安全性与密钥安全性的提升,实现了统一身份认证与授权的功能、单点登陆和访问控制的功能。