虚拟专用网(VPN )作为一种综合性的网络安全技术，由于其公网“专用”和安全的优点，正得到越来越多的应用。许多研究机构和安全厂商都纷纷推出了自己的VPN网关。而 VPN中的身份认证也正日益受到重视，目前已有的VPN 产品中身份认证，主要有两大类：一种是简单的预共享密钥认证，面向中小客户；另一种是混和认证+LAM(legacy authentication mechanisms)，利用已有的身份认证系统，加上改进 VPN的密钥交换协议(IKE)的认证方法，可以实现用户级的认证，主要面向大客户。但是两者都有不可避免的弱点，前者在于VPN的不易扩展性，而后者对IKE的认证方法的改动，在安全领域中只能是一种暂时性方案。数字证书认证是VPN身份认证方法之一，而且随着CA建设的完善，这一方法成为未来的趋势。 本文第一章首先对互联网从水平，垂直，和过程动态三个方面建立安全模型，指出虚拟专用网是互联网重要的安全技术之一，能有效的增加安全纵深，接着第二章对虚拟专用网进行研究，总结VPN的三个关键技术：(1)加密和密钥管理(2)隧道技术(3)身份认证技术。然后第三章以IPsec协议建立具体的VPN模型，包括VPN的实施，传输模式，以及密钥交换。第四章在密钥交换中，我们对IKE的中的Dime-Hellman协议的安全性进行了分析，指出了 IKE协议进行认证的必要性。接下来，我们详细的分析的IKE的各种认证方式，以及它们的优，缺点。从本文的研究，我们知道IKE认证的局限性在于它只能提供标准的设备级认证，所以对远程用户接入支持不够，同时不能有效区分不同用户的接入权限。为了改进IKE认证的局限性，业界提出了的改进方法，包括混和认证，和数字证书认证。其中数字证书认证，由于可以作为用户身份标识，又是IKE可选的认证方式，并且与可信第三方CA进行配合，成为本文的实现方案。由于CA建设的滞后性，我们提出了过渡性的VPN数字证书认证方案：即在VPN网关上实现Local CA。 第五章主要分析实现中主要解决的问题，即ASN.1语法的x509v3证书的解释，数字摘要的完整性校验，数字签名的有效性校验以及在已有的VPN(freeswan源码)系统中，加入数字证书载荷和数字请求载荷。 最后第六章，我们对实现的数字认证系统，提出了一种新的基于数字证书的远程用户接入的用户认证方案。并对今后数字证书的在更高颗粒度的身份认证的作用进行前瞻性展望。