IPSec协议是个专门的网络安全协议,VPN技术就是这个协议的典型应用之一.IPSec协议本身是一个复杂的协议体系,它以密码学、PKI(CA)为基础.在VPN应用中,通常采用经典CA服务器来管理VPN中的数字证书.但是,随着VPN应用规模的扩大以及用户对VPN系统管理需求的变化,经典CA已经不能很好地满足用户对VPN的管理需求.此时,为了满足用户的这种需求,有必要对经典CA模型进行扩展.同时,IPSec的密钥交换协议(IKE协议)是其安全的核心.IKE协议也成为了当前研究IPSec协议的热点.文章首先从网络安全的概念谈起,然后对VPN技术进行了简要的介绍.文章的重点之一是针对作者提出的一个扩展CA模型进行分析和实现.作者对模型进行了详细的探讨,总结了模型采用的核心机制,分析了模型应用优势,最后作者还实现了这个模型,并在工程得到了应用.文章的另一重点是IPSec协议体系中的一个基础协议IKE协议,作者对这个协议的交换模式进行了简要的介绍,着重是从协议的算法和密钥长度来分析了协议的安全性,并且提出了一个实现模型,在windows 2000系统下实现了该模型.在最后,作者还根据应用对两个实现的反溃信息做出了总结.该文所讨论的内容并不包括所有的IPSec协议体系的内容,而是它的两个重要的基础:CA与IKE协议.