在很多情况下，例如公司员工出差，需要在外部网访问内部 WWW 服务器上的敏感信息，这种访问通过非安全的公开网络进行。我们的日标就且要保障这种远程访问的安全，也就是只有经过身份认证的合法用户才能进行访问，并且合法访问的数据在非安全的公开网络上传输是保密的，攻击者不能通过窃听合法用户的访问来获得敏感数据。 贝然有许多方案可以达到这两个安全目标，但是我们希望安全方案对已有的系统尽量少作改动。尤其是对外部用户而言，我们必须考虑到易用性，不能为了实现安全远程访问而对原有的系统大动干戈，从而影响其正常的工作。我们也不希望外部用户的工作站上安装一大堆的配置文件、参数文件、密钥文件等等。同时，我们也不希望引入认证中心或可信第三方来保障远程访问的安全。 本文提出一种基于 SRP 认证的双代理体系结构──E-Proxy 和 I-Proxy,分别作为外部代理和内部代理。客户端测览器直接与E－Proxy 通信，内部 web 服务器直按与 I-Proxy 通信，E-Proxy 与 I-Proxy 之间采用安全通道进行通信，浏览器与 web server 之间的通信必须通过两个代理服务器来转发。在E-Proxy和I-Proxy 建立起安全通道之前，必须先完成用户身价认证。完成身份认证后，才能进行HTTP数据的转发，并且转发的数据是加密的。身份认证和加密，正是实现两个安全目标的关键。 双代理系统采用 SRP 作为身份认证手段，它只需要用户记住自己的口令字，就能进行安全的身份认证，而不必担心象其他基于口令的认证方式那样，容易遭受诸如字典攻击之类的攻击。 本文还讨沦了双代理系统的软件设计和代码实现。