随着世界各国的组织和企业之间越来越频繁的交流，人们对跨越广大地理范围的虚拟专用网VPN的安全性提出了越来越高的要求。MPLS VPN作为一种新的三层VPN技术，以其具有类似二层VPN的安全性而得到日益广泛的重视。而从一个可信网的角度来分析当前采用RFC 2547规范实现的MPLS VPN，可以发现对于该VPN的用户边界设备CE之间彼此并没有采用任何身份认证机制，这无形中给VPN的安全造成了潜在的安全漏洞。 针对目前的MPLS VPN网络安全状况和发展需求,本文实现了一个基于MPLS VPN的CE和CE之间的VPN成员认证机制。该机制主要是通过在CE路由器之间传送一个标志本VPN的身份认证令牌CE-to-CE Verification Token(CVT)。CVT令牌通过BGP协议的扩展共同体属性来承载，当CE发送BGP路由更新报文时，将该路径属性附加到路由更新中，传到对端CE处，并在对端处对该令牌进行验证。在具体的身份验证过程里，采用了随机数加MD5摘要作为CVT令牌的值，通信双方验证该令牌值进行的合法性，在得到验证结果之后，通过对BGP配置相应的路由策略，将未通过认证的路由更新过滤，拒绝将其加入本VPN的路由表。 通过对CE成员身份相互进行认证，使得本地CE能够确认与之交换路由信息的远端CE是属于本VPN的设备，以此确保CE设备接收的路由都是本VPN内部路由。这样，即使在服务供应商处错误配置时也能避免不同VPN路由的混淆，使得VPN用户拥有安全可信的VPN网络平台。