互联网及其应用服务快速发展和普及,便捷地服务于人们的日常生活,人们也越来越依赖于用互联网和信息系统处理日常生活和工作中的问题。身份认证作为应用服务系统中访问控制的第一道安全防线,也成为越来越受重视的一个问题。智能手机的广泛普及,使得用户可以借助手机结合口令与服务器认证。然而当前现有的移动端协助认证方案需要在移动设备上存储用户的秘密信息,或需要假设安全信道以传输用户的认证凭据。一旦存于移动设备的秘密信息被攻击者获得,将给用户带来不可挽回的损失。于此,本文提出一种指纹保护用户凭据的口令认证方案,用移动设备协助用户认证,但无需存储秘密信息,可以有效防止手机端的字典攻击。在认证过程中,用户在电脑端输入口令后对口令进行盲化,电脑端与移动设备端执行盲签名协议,可保证口令不被除用户以外的第二方知道,在保护了用户口令的同时,有效防止会话劫持攻击。并对口令进行多次混淆和盲化,增大了口令的熵值,有效防止对于口令的撞库攻击和彩虹表攻击。本文主要进行了以下几个方面的工作:1)分析并研究了目前存在的移动设备协助的认证方案,并总结比较了他们普遍存在的缺陷,针对其缺陷提出了一种可以避免移动设备存储用户密文,同时能抵御服务器端对口令的字典攻击的认证方法;2)在方案中利用并改进了HCR算法,利用指纹参数结合盲签名技术,一方面对口令进行了随机的混淆和盲化以增加其熵值,另一方面使用户可以在认证时不用假设手机端和电脑端的安全信道,增加了方案的实用性;3)对提出的方案进行了改进和扩展:基于RSA盲签名运算的改进方案,在改进方案中不用进行开大数次方等会导致运算结果不精确的数学运算,而是进行安全的模数运算;4)根据可证明安全理论对方案进行了定义游戏下的安全性证明,最后模拟真实场景,对方案进行时间及存储方面的性能测试,测试数据表明此方案性能良好,可用性高。理论分析及实验结果表明,本方案提高了用户口令及认证凭据的安全性,可以有效抵御攻击者的字典攻击、彩虹表攻击、会话劫持攻击和钓鱼攻击,减少了手机的存储压力,同时没有改变用户的使用习惯,实用性高并且易于部署。