本发明涉及一种基于EAP-MD5改进协议的身份认证方法及系统，在该方法中，将Challenge和用户名进行了哈希处理，再将结果与用户密码进行异或，从而保护了Challenge，避免了明文传输，黑客由于不知道密码，因此截取数据后，无法直接采用暴力或字典破解的方法破解Challenge值，提高了暴力破解哈希的难度。同时，密码采用异或而不再明文组合式的包含在哈希值里，更增加了破解难度和复杂度，提高了密码使用的安全性，并引入时间戳作为后续认证中时间重放的判定依据。本发明可以在身份认证的过程中，有效降低协议被暴力破解的概率，并有效防止数据包的重放攻击，提高了认证的安全性。