随着电子政务和电子商务应用的不断发展,越来越多的重要信息在网络中传输,因此SSL/TLS安全通信协议得到广泛使用,但当前的SSL/TLS协议的国际标准规范不支持国产密码算法。为了促进我国国产密码算法的产业化应用,国家密码管理局发布了《SSL VPN技术规范》和《安全认证网关产品规范》,通过支持国密SSL协议的安全认证网关可以为网络应用提供基于国密数字证书的高强度身份认证服务和高强度的加密传输服务。本文设计与实现了一个完整的国密安全认证网关系统,主要分为软硬件一体的网关设备和客户端国密浏览器代理。网关设备端提供基于Web的配置管理和用户应用Portal功能;国密浏览器代理为主流浏览器提供国密SSL通信功能。系统设计与实现符合《SSL VPN技术规范》和《安全认证网关产品规范》要求。网关系统基于安全增强的Linux平台,网关的配置管理采用基于Web的方式实现,管理员身份认证与加密通信基于国密SSL实现。配置功能包括网络设置,用户管理,应用管理,SSL设置,日志管理与系统设置。用户应用Portal为用户访问应用提供统一门户,提供基于数字证书的高强度身份认证服务,支持单点登录与主机安全性检测功能。针对客户端主流浏览器不支持国密SSL协议这一问题,本文设计与实现国密浏览器代理,包括GUI配置界面和代理通信引擎,前者支持端口设置,协议设置,数字证书管理,日志查看,PAC设置以及代理设置,后者为浏览器提供HTTPS代理服务,同时作为客户端与网关设备进行国密SSL通信,采用多线程实现并发处理。针对《安全认证网关产品规范》中的密钥管理问题,网关设备和客户端分别使用国密加密卡与国密智能密码钥匙实现安全密钥管理。采用OpenSSL的Engine机制在Linux和Windows上分别开发Engine模块,对加密卡与智能密码钥匙的密码运算进行封装,使得国密SSL协议通信过程中的密码运算由密码设备完成,实现私钥不出国密硬件设备这一目标。最后,根据安全认证网关典型应用场景搭建测试环境,对网关功能进行测试。测试结果表明:(1)管理员能够通过网关管理端Web界面可以根据网关实际应用环境进行功能配置;(2)用户使用主流浏览器通过安全国密浏览器代理访问安全认证网关用户应用Portal,通信协议符合国密SSL协议规范,支持基于数字证书的双向身份认证;(3)网关设备和客户端分别使用国密加密卡与国密智能密码钥匙实现安全密钥管理。