虚拟专用网VPN是一种充分利用隧道、认证、加密等技术手段,使用户可以利用现有的Internet公共网络,安全地远程访问内部网络资源的网络系统。在实现VPN的各类协议中,SSL/TLS协议具有简洁、实用的优点,由此构建的SSL VPN灵活、快速、简单。但是SSL VPN协议的简单性导致了其特有的安全性问题:由于SSL协议实际建立在IP层之上,VPN的安全性依赖于下层服务的安全性。此外,所有的VPN协议都采用传统的对称或非对称加密方式保护数据,当操作系统受到攻击或破坏(例如私钥泄漏、丢失等)的情况下,VPN的安全性将会受到严重破坏等等。可信计算(Trusted Computing)是根据当前实际网络攻击特性提出的一种新的安全思想。传统TCP/IP协议的重要局限性之一,是缺少对网络接入终端的验证机制。可信计算的思想在于建立以TPM(Trusted Platform Module)为核心的网络接入终端的安全构架。通过TPM,我们能够从终端的体系结构这一层次解决信息系统的安全问题。本文在详细分析SSL VPN协议体系结构和安全性特点的基础上,考虑网络安全的实际特性,利用TPM技术,提出在不改变现有的协议构架的情况下,通过扩展TLS握手协议改进SSL VPN的安全缺陷。本文详细描述了该基于可信计算的TLS扩展协议内容,协议设计和实现的思路,并对比标准的TLS协议测试了本文提出的解决方案的性能,最后给出了基于本方案的三类电子商务SSL VPN的部署实例。本文提出和设计的系统,能够符合硬件安全技术新的发展方向,在保证和传统SSL VPN系统兼容的前提下,提高了VPN系统安全性并且保证了系统性能,具有很好的现实意义。