随着应用服务模式从C/S 结构向Web 的迁移,企业必须面对一个新的挑战,即在不影响最终用户使用的前提下,实现在任何地方灵活地访问应用服务。SSL VPN(Secure Socket Layer Virtual Private Netwrok)结合SSL的加密特性和细粒度的访问控制,很好地解决了上述问题。服务器是SSL VPN系统的关键部分。对其的研究工作主要包括:设计良好的函数接口来实现SSL协议,以保证通信数据的保密性和完整性;提供灵活完善的认证策略确保客户端的合法性;通过细粒度的访问控制保证客户对资源访问的有效性;优化服务器的设计以提高SSL VPN构架的性能;通过对资源的抽象化管理提高服务器的可扩展性。首先对严格遵守SSL标准的编程接口OpenSSL进行了仔细研究,对其在客户端验证和连接重用方面支持不足的缺陷做了完善,利用其来保证通信数据的安全性和完整性。然后通过对多种客户端认证技术的研究,提出了以PKI(Public Key Infrastructure)系统为基础,支持用户名/密码形式和双因素认证的策略;针对传统SSL VPN在认证点上可能出现的认证缺失、无法控制延迟等问题,设计了私有协议SSL_ECP(SSL Enhanced Control Protocol)来解决。还对各种资源访问控制策略进行了详细分析,实现了基于角色和基于内容的访问控制策略,能更灵活,更细粒度的对资源进行控制。最后,详细分析了服务器的性能问题。由于在连接建立阶段主要是公钥算法影响性能,而在数据传输阶段主要是加解密操作影响性能,故相应的给出了连接重用和添加硬件加速卡的方法来提高服务器的性能。为了提高服务器的可扩展性,还设计了Web界面的控制系统来管理众多的资源,简化了管理员的工作。