随着计算机网络的发展,信息安全问题越来越多地受到社会各界的关注。其不仅关系到人们的日常生活,更与国家的安全、稳定与发展息息相关。然而,随之而来的各种安全性问题,例如出现在网上转账过程中的金融欺诈以及社交网络登录过程中的帐号信息窃取让网络资源使用者如履薄冰。诸如此类的安全隐患极大地阻碍了互联网技术向更加贴近用户生活的“互联网+”转型的步伐。身份认证作为网络环境中最基本的安全服务,在不同的应用场景中其表现形式也有不同。基于智能卡的口令认证因具有安全性高和方便快捷等优点成为目前最普遍的身份认证机制之一。目前,基于智能卡的口令认证技术被大量使用于网上银行、电子商务和员工考勤等多种不同类型的认证体系中。将智能卡与手机等移动社交产品载体相结合完成用户身份认证更成为当下认证技术发展的焦点。安全性是衡量身份认证系统优劣的重中之重,然而目前大多数基于智能卡的口令认证协议都存在不同程度的安全隐患。为解决上述问题,本文首先介绍了基于口令和智能卡的身份认证技术的研究背景和意义,通过对不同认证体系的设计模式进行分析并总结其安全性差异,取得如下研究成果:1)提出一种结合智能卡的口令认证密钥交换协议,该协议应用异或运算法则、离散对数难解性以及Diffie-Hellman算法,实现了“保护用户信息”、“允许用户随时更改密码”和“用户以及服务器双方认证”等功能。2)提出了一种通过用户名分析密码的攻击方式(password guessing attack based on identity analyzed简称PGA),作为口令猜测攻击的变形,它能极大地增加密码破解的几率。通过分析Xu(2009)、Sood(2010)以及Chen(2014)提出的身份认证体系,论文模拟了当前主要的攻击模式,指出上述文献无法满足新的安全挑战。基于离散对数的难解性以及异或运算法则,本文提出了可以克服以上所有安全缺陷的身份认证算法。3)将身份认证算法应用于实践,完成原型系统的设计与开发,利用JAVA虚拟机以及服务器模拟登录时使用智能卡进行信息交互的过程。