在分析现有虚拟专用网VPN(VirtualPrivateNetwork)采用的安全技术基础上,提出了一种新的安全机制.该安全机制针对当前VPN系统的效率与安全性能进行了分析与改进,实现了身份认证、密钥协商以及IP数据报文安全性封装.在该安全机制中,身份认证引入新的嵌套证书认证机制NPKI(NestedCertificateInfrastructureBasedPKI).NPKI在验证嵌套证书路径过程中仅使用一次公钥算法,这使得对多层次的证书路径进行验证时变得非常高效,对快速启动VPN隧道有着积极意义.同时引入了BAN逻辑,对NPKI的安全性进行形式化分析与证明.在NPKI的实现中,针对NPKI证书服务器与证书客户端设计了专门接口,与IKE进行无缝连接.在密钥协商方面,对标准的Internet密钥交换协议(IKE)进行改进,提高了系统的安全性能.经过分析标准IKE密钥协商过程,发现存在一定的安全漏洞,易遭受中间人攻击.改进IKE后,能够有效的增强防御中间人攻击能力.对于IP数据报文的安全性封装,该安全机制利用Windows的NDIS技术实现了IPSec协议封装过程,根据IKE协商的各个会话SA的要求,分别采用安全封装载荷ESP或认证头AH,对IP数据报文进行处理.