VPN(Virtual Private Network,虚拟专用网)能够让企业为移动用户、分支机构以及合作伙伴提供安全方便访问企业内部资源之路,而基于SSL(Security Socket Layer,安全套接层)协议构建的VPN系统不仅能同样让企业享受这些好处,同时又能给企业带来诸多便利,比如客户端安装简便,成本低等。但是由于SSL协议的不完善性也让SSL VPN受阻于电子商务等对客户端鉴别要求比较高的环境中,所以人们普遍采用数字证书鉴别来弥补这一缺憾,然而数字证书鉴别虽然在信息机密性、完整性和不可抵赖性等方面能提供比较完备的技术手段,国内PKI(Public Key Infrastructure,公钥基础设施)技术发展也比较成熟,但是PKI的广泛应用却受制于诸多因素,如CA中心繁多,但是许多并不是真正的权威性第三方,CA中心之间的协调和交叉鉴别困难;CA自身的管理比较混乱等,而且建设一套完备的PKI体系对企业在人力物力财力上都有很高的要求,所以这种鉴别方式并不适合于一些中小型企业构建SSL VPN系统。 针对以上现状,本论文提出了一种改进型的SSL VPN系统,利用独立一次性口令机制(Independent One-time Password,Independent OTP)与SSL协议相结合构建VPN系统。独立一次性口令机制主要用于对客户端的用户身份鉴别,它不同于现有的一次性口令机制(One-time Password,OTP),每个口令之间是相互独立的,并且口令都不依赖于用户的秘密通信短语(相当于传统的口令,由用户保存)。Independent OTP具有很多优点,一方面客户端不需要进行任何运算,减轻了客户端的工作负荷,这一点与SSL VPN的设计初衷非常吻合;另一方面服务器并不保存用户的口令,防止系统管理员获知用户口令而造成内部泄密。 本文首先分析了传统VPN系统存在的优缺点,以及利用SSL协议构建VPN系统的优越性和发展趋势,针对当前广泛流行的采用数字证书承载鉴别信息来鉴别客户端身份的方式在中小型企业中的不适用性,然后在第三章提出了作者自己的改进观点——利用独立一次性口令机制的鉴别方式,阐述了其理论可行性和实