在Internet高速发展的今天，网上活动已经十分普及，越来越多的企业和组织依靠网络这个平台来开展它们的业务，信息安全问题也日益受到人们的重视。身份认证作为信息安全系统的第一道防线，是最重要的安全服务之一，也是实现其它安全服务的前提。 然而传统的身份认证仅采用静态密码，且只有唯一的认证服务器为用户提供服务，其缺点是：(1)静态密码很容易被攻破；(2)若认证服务器被入侵或发生故障，就不能及时地为用户提供服务甚至导致用户信息的泄露或永久丢失，这在证券和银行等交易系统中是无法接受的，因此迫切需要一种更安全有效的认证方案。 论文首先分析了两种典型的身份认证协议：S/KEY协议和Kerberos协议，然后根据这两种协议的优缺点设计出了一种具有挑战-应答机制的动态密码卡来解决这两种身份认证存在的缺点和不足；随后把入侵容忍机制引入到身份认证中，很好地解决了认证服务器易被入侵或发生故障的问题。论文把动态密码和入侵容忍技术结合在一起，形成了一种新的身份认证方案，该方案具有如下特点：登陆简单，操作方便；不会产生失步问题；可以实现客户端和服务器端的双向身份认证；采用一次性口令，防止了重放攻击和窃听攻击；认证过程不涉及可信第三方KDC的参与，结构简单；认证服务器端引入了入侵容忍的技术，安全系数高。 基于上述研究，论文最后实现了一个原型系统，并且从效率和安全性两个方面验证了新身份认证方案的可行性。