无线网络飞速发展,各种安全问题也逐渐暴露出来。由于IPSec VPN (Virtual Private Network)能够提供较好的安全保护,应用范围不断扩大。在传统的TCP协议中,假设丢包都是由网络拥塞造成的,这不适用于错误丢包比拥塞丢包更容易发生的无线链路。此时,启用拥塞控制机制,将导致TCP端到端的性能降低。而且现有的很多改进方案无法用于加密通信中,因为IPSec与TCP改进方案之间存在冲突。在无线网络中,要保证通信的安全性和TCP协议的性能,就必须解决它们之间的冲突。另外在VPN系统的大规模应用中,由于其部署环境复杂,也面临不同软件在NDIS(Network Device Interface System)内核框架中的冲突和内核模块开发,移植,维护困难等问题。在对目前流行的基于Windows平台的VPN系统体系结构及其实现技术进行深入分析的基础上,针对嵌入式终端的特点,提出了一种新的基于虚拟网卡的技术,然后给出了在WinCE VPN系统中实现该技术的体系结构,能够从根本上解决上述问题。根据无线VPN应用存在的性能问题,在对现有的无线网络下TCP性能改进机制与IPSec VPN的兼容性分析的基础上,提出了一种适用于有线/无线混合网络IPSec兼容的端到端的TCP性能优化机制。其主要思想是:通过接收端数据包到达时间间隔的变化累积来判断无线链路的状况,当判定为误码丢包时,通过ACK上标记ELN(Explicit Loss Notification)位来通知发送端,发送端将该标记保存在一个全局变量中。发送端在收到三个重复ACK或RTO超时时,根据该变量来决定发送窗口的变化,使得TCP协议对于无线链路错误丢包透明,避免不必要的拥塞控制而导致性能下降。通过NS2仿真实验,并与TCP Reno在不同链路丢包率的情况下进行了性能对比。结果表明,该机制在无线移动场景下,能有效提高TCP网络传输性能,同时和现有的安全机制也相兼容。