目前,基于IPSec技术的VPN正在得到越来越广泛的应用。其中,一种具有广泛市场前景的构想是,远程VPN客户端使用本地ISP的服务与所在组织的VPN网关建立安全隧道,访问网关后面的子网。为实现这种构想,IETF在1997年提出了ISAKMP配置方法,2003年提出了IPSec隧道模式的DHCP配置方式。通过对上述两种配置方法的研究,同时针对它们存在的不足,设计了更有效、具有更好扩展性的自动认证配置方法。设计思想是在现有IPSec VPN网关基础上添加认证代理模块、内部地址池的管理模块,在客户端上添加认证功能。这样使得客户端在认证成功后,能够获得一个唯一标识的虚拟IP地址,使用此IP地址来通过隧道方式访问网关后面的子网。自定义了VPN网关和客户端之间的认证通讯协议,考虑到目前客户端一般使用Windows系统,这样在客户端的实现上,采用了在NDIS Miniport上实现一块虚拟网卡来完成虚IP、内部DNS、WINS服务器等信息的配置,同时在本机路由表中添加到网关后面保护子网的路由信息。采用NDIS-HOOK技术及相应的加密和签名算法,对将要发送的或刚接收到的数据报文进行策略查找,并根据查找得到的策略做后续处理。这里的策略是IKE协商出来的,并保存在IPSec核心策略库中的SPD、SA等信息的集合。通过策略查找和后续处理后就在客户端上实现了IPSec的功能。使用自动认证配置方式的安全产品已经得到了很广泛的应用,同时它还能适用于许多不同的网络环境。