電腦與網路技術的成熟與普及,使得合法使用者或電腦之間資料可以從遠端輕易的登入另一台電腦。遠端的登入者是否合法就變成一個很重要的問題。因為通行碼的成本較低,且方便並符合人類行為方便,所以一般還是使用通行碼來實現遠端身份鑑別。過去,陸續有很多學者提出遠端身份鑑別的相關研究,但是他們所提出的方法,在安全上尚待加強,或是必須使用較高的計算量。因此,本論文提出一種較安全的遠端身份鑑別機制,它可以抵擋通行碼猜測攻擊(password guessing attack)、偽裝伺服器攻擊(server spoofing)、通行碼驗證資訊遭竊後之攻擊(stolen-verifier attack)、重送攻擊(replay attack)、阻斷服務攻擊(denial of service attack)等五種攻擊方法。另外,我們的方法在做完遠端身份鑑別機制後,遠端系統和使用者會產生一把共有會議金鑰(session key),方便登入後伺服端與需求端可以藉以進行其他資訊安全機制。而我們的方法所產生會議金鑰,滿足了session-key security、known-key security和forward secrecy等三種安全特性。 In 2002, Lee, Li and Hwang proposed the remote user authentication protocol but their scheme is not secure. It suffered password guessing attack, stolen-verifier attack, denial of service attack and server spoofing. Therefore, we propose the improved scheme based on Lee-Li-Hwang scheme. According to the concepts of BAN logic, we provide the proof of session key authentication.