本文分析了静态口令身份认证的优缺点，口令身份认证有2个重大的缺陷：口令可以被网络上的非法用户窃听，无法防止回放攻击。提出了一种通用的身份认证方案，并根据这种方案设计并实现了基于虚拟Token的安全身份认证系统。 这种身份认证方式属于基于动态身份认证方式中的挑战/应答模式。使用这种身份认证方式可以有效地克服口令身份认证的缺陷。在这种方式下，系统将时间作为挑战数，客户使用虚拟Token算出应答数，再根据该应答数进行系统登录。这样，时间作为挑战数是一次性的，每个时间片都是不同的挑战数，因此可以防止回放攻击；在网络中传输的是加密了的应答数，解决了口令以明文方式传递的问题。 本系统是通用型的，可以适用于各类B/S模式系统的身份认证。考虑到目前在.NET环境下开发的应用系统很多，详细分析了.NETFramework的身份认证模式和授权访问。改进了使用最多的Form认证模式，实现了以虚拟Token为基础的身份认证系统。 本系统使用了ASP.NET和SQL建立了标准的可扩展的3层B/S模式应用程序，实现了一种适用于各类单位信息发布的系统，还用CSS规范了站点的界面。