随着网络的快速发展和广泛应用,网络安全问题变得越来越重要,而身份认证作为网络安全体系的基础,一直是网络安全领域的研究热点。虽然基于USB Key(Universal Serial Bus Key)的身份认证能够解决安全性与易用性之间的矛盾,但如何保证其对各种应用更广泛的适应性,还有不少问题需要解决。通过分析USB Key的应用特征,采用C/S(Client/Server)结构,在现有的基于冲击-响应的双因子认证方式基础上,提出了一个网络身份认证安全模型,并论述了模型的实现机理。结合应用需求,综合运用了数据加密、访问控制、权限鉴别和网络数据包的过滤技术,以确保安全易用的身份认证为原则设计了模型的体系结构,描述了具体的工作流程,详细地划分了系统的功能模块,并讨论了USB Key管理模块、认证通信模块、身份认证及访问控制模块、包过滤模块和加/解密模块间交互的基本操作流程。基于所给模型,具体设计了基于角色的身份信息和基于角色应用映射关系的访问控制数据库的结构,并定义了完善的认证通信消息格式。同时采用完成端口机制实现了客户端和认证服务器间的通信,提高了对大并发量客户端I/O(Input/Output)请求的处理性能。采用NDIS(Network Driver Interface Specification)中间层驱动程序在OSI(Open System Interconnection)七层模型的网络层按不同的用户应用策略完成对网络数据包的过滤,细化了每个应用与访问者的安全管理粒度,保证了模型保护的网络系统仅向合法用户提供相应的应用服务,大大提高了模型所服务的各种应用系统的信息安全性。实验结果表明,所建立的模型拓展了USB Key的用途,具有性能稳定的身份认证功能,还能提供对具体网络应用的无缝嵌入和访问控制功能,增强了网络应用的安全性,具有较好的实用性。