随着网络和信息技术的不断发展,人们比以往更加依靠网络和信息系统解决生活中和工作中的问题,众多的网络及信息系统也面临着比以往更多更具危险性的威胁,身份认证作为信息系统的第一道防线,是最重要的安全服务,也是实施访问控制的基础。现有的身份认证系统多数采取口令认证方式,口令认证在现代各种攻击工具和攻击手段面前已经无法为安全系统提供足够的安全性。采用令牌认证可以有效解决口令认证中存在的安全问题,但新的认证体系很难与现有系统,特别是操作系统的授权访问控制体系进行对接。本文首先对当前常用的身份认证技术进行研究和分析,着重分析了令牌认证和口令认证的优点与不足,在此基础上,本文提出一种可以与现有的口令认证体系无缝衔接、直接利用与口令认证体系配套的授权与访问控制服务的新型令牌认证方案,并且实现了该方案的一个原型系统。文章的创新在于利用基于身份的数字签名技术,将挑战/应答令牌认证转化为传统的口令认证,在利用现有系统中与口令认证捆绑的授权机制的同时,解决了口令认证存在的安全问题。为完成这—创新,本文进行了以下几个方面的工作:提出一个可恢复口令的挑战/应答认证协议,将挑战/应答认证转化为口令认证,并利用Shamir的基于身份的数字签名方案给出具体的应答码和口令恢复算法;在J2ME平台上,利用Bouncy Castle轻量级加密包开发了一个手机令牌软件,解决了系统的可行性问题;在对Bouncy Castle大整数类进行扩展的基础上,实现了PC端和令牌客户端统一大整数运算接口,为系统原型中密码算法的实现奠定了基础;分析了手机端和PC端蓝牙通信原理的具体实现技术,在此基础上设计了一个手机令牌和PC主机之间基于蓝牙通信模型,并编程实现了该模型;通过对Windows GINA模块进行客户化,实现令牌认证体系与Windows操作系统的认证与授权体系之间的衔接,最终完成了手机令牌认证原型系统的开发。本文还对所开发的手机令牌认证原型系统进行了全面测试,并给出了所测得的相关性能统计数据。实验结果表明,该系统使用方便,性能良好。