基于用户名/口令的认证是当前最常用的认证机制之一,广泛地应用于操作系统以及电子邮件、网上银行等Web应用系统中以鉴别用户的身份。随着网络和Web技术的不断发展,使用基于用户名/口令认证机制鉴别用户身份面临了一些严重的问题,其中包括多用户口令的管理以及来自网络钓鱼(Phishing)等常见攻击的威胁。本论文利用智能手机作为应用平台提出了一种新的用户数字身份管理系统—基于智能手机的Web数字身份管理系统,称为SmartID。SmartID采用的硬件设备主要是目前已经流行的具有蓝牙功能的智能手机,以实现登录界面认证和口令管理。SmartID以智能手机作为平台实现多用户口令的有效管理;通过高强度加密手段保存认证信息以保护用户口令信息;通过蓝牙作为通信媒介传递认证信息;通过登录界面认证达到反网络钓鱼的效果。与同类口令管理和反钓鱼攻击工具相比,SmartID在有效保护用户的Web数字身份方面具有非常明显的优势:它可以实现登录界面的严格鉴别以抵御钓鱼攻击;它可以实现在Web应用程序登录界面中自动输入用户名/口令,免去用户记忆和输入冗长复杂的口令;它部署成本低,不需更改Web服务器原有的认证机制。