随着电子商务、电子政务和移动计算技术的快速发展,为了实现有效的访问控制和安全的网络通信,身份认证变得越来越重要和复杂。虽然基于USB Key(Universal Serial Bus Key)的身份认证能够解决安全性与易用性之间不可两全的矛盾,但如何保证其对各种应用具有更广泛的适应性,还有不少问题需要解决。针对含智能卡芯片的USB Key可进行加/解密运算和生成随机数的特点,在传统的基于挑战/应答的双因子身份认证基础上,提出了一种基于USB Key的双因子身份认证与密钥交换协议IAKEP(Identity Authentication and Key Exchange Protocol)。在IAKEP协议的基础上,结合应用的具体需求,以确保安全、稳定、易用的身份认证为原则,通过综合运用数据加密、访问控制、权限鉴别和网络数据包过滤等技术,设计了一个完整的身份认证安全平台IASP(Identity Authentication Security Platform)。给出了IASP的组织架构,划分了IASP的各个功能模块,描述了IASP从初始化、认证、通信到退出的具体工作流程,并讨论了策略与身份管理模块、USB Key管理模块、认证通信模块、数据加解密模块和数据包过滤模块的基本实现原理及其交互流程。实际应用表明,IASP有效地拓展了USB Key的用途,不但可以实现安全的身份认证与密钥交换,还能为网络应用系统提供透明的数据加解密服务和访问控制功能,提高了网络应用系统的安全性,具有较好的通用性、安全性和可靠性。