本文对远程接入IPsec VPN进行了深入研究分析,针对实际的应用场景,实现了一种更具可用性、健壮性和安全性的远程接入方案,论文的具体研究和实现工作包括以下几个方面:分析了现有IPsec VPN体系结构中存在的不足,基于新的IPsecv2框架,提出了PAD增强型设计方案,并在此基础上提出了扩展设计,增设PAD服务器以进行集中式管理,从安全和管理的角度对原有的体系结构进行了增强;分析了IKEv1下远程自动配置方案的不足,本文提出了一种新的改进型自动配置方案,在IPsec VPN网关中实现了DHCP客户端的功能,能够根据用户及其所在组的信息发起DHCP请求,DHCP服务器端配置了用户组的匹配规则和建立地址池,能根据DHCP请求选择合适的地址池分配内部IP地址和其他内部配置信息;基于课题组实现的IPsecv2框架下的一体化防火墙和本课题完成的基于用户组的远程自动配置方案,实现了对远程用户的访问控制,提高了系统的效率和安全性;针对远程用户和IPsec VPN网关之间可能存在NAT设备的情况,研究了IKEv2协议中NAT探测和穿越的方案,实现NAT探测功能,当探测到NAT设备的存在后,通过NETLINK套接口通知IPsec内核启用NAT穿越功能,提高了系统的通用性;将DPD协议应用在IPsec VPN系统中,弥补了IKE协议本身对状态检测的不足,提高了系统的健壮性;在设计中,充分考虑到IKEv1和IKEv2的融合,支持IKEv1和IKEv2的客户端,提高了系统的兼容性;对课题的原型系统进行测试。测试结果表明,原型系统各个模块可以正常工作,在可用性、健壮性和安全性等方面均达到了设计要求。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。