VPN作为网络安全的一个重要组成部分，已经越来越多的应用到现代企事业单位中。随着VPN应用的普遍性，移动办公人员对VPN客户端的方便性和安全性的要求越来越高。现有的IPSEC VPN的胖客户端，或者是SSL VPN的插件式客户端由于其各自的缺点，在很多应用环境下已不完全适用，更灵活、更方便、安全性更强的VPN客户端期待推出。 本文重点研究与讨论基于USB大容量存储设备的VPN安全移动客户端的设计与实现的问题，并针对大容量存储协议的实现，以及客户端的安全控制做了细致的说明。本文的主要贡献在于：利用控制芯片在存储芯片上划分成三个独立的分区，分别为模拟光盘分区、隐藏区和文件保密区。用隐藏区存储配置信息，用户pin码以及身份证书；用模拟光盘分区存储VPN客户端程序，避免了用户有意或无意地对应用程序的破坏；通过口令控制和文件透明加解密的策略来保护文件保密区中的内容的安全性。VPN服务的认证通过二次认证的策略来完成，首先通过硬件的VPN客户端对用户的身份进行认证，认证通过后，允许VPN客户端程序读取隐藏区中的用户身份信息发送到VPN服务器进行二次认证，这样管理员只需要控制VPN安全移动客户端与用户之间的一一绑定就可以保证只有授权的用户才能访问VPN服务。除此之外VPN安全移动客户端还提供了为VPN服务进行二次开发的接口，各种VPN客户端程序都可以通过简单的扩展使其具有和客户端硬件结合在一起。 与传统的VPN客户端相比，安全移动客户端具有了双因子身份认证，安全存储，自动运行，更加灵活便利等优点。