随着互联网技术和无线网络技术的迅速发展,传统互联网正逐渐向“终端移动、无线接入”的移动互联网方向发展。同时,远程访问VPN技术作为企业网络平台的一种有效延伸,一直在我们的网络应用中扮演非常重要的角色。移动互联网技术和传统远程访问VPN技术的结合,将使企业用户获得更大的便利和自由,它使得移动的企业员工随时随地的与企业网进行安全数据交换成为可能。但是,这种结合也给传统远程访问技术带来了挑战。这里的远程访问不再是一个静止的访问过程,它伴随着远程节点的移动和无线链路移动切换过程;移动网络场景中的无线终端具有较弱的计算和存储能力;无线接入网络存在高误码率和低带宽等限制。在这种应用场景下除了考虑远端移动节点的远程接入安全和数据交换安全外,还必须考虑移动节点的计算能力和无线链路带宽限制等问题,同时,有必要保障远端节点的移动和网络切换过程对上层应用透明。本文主要研究移动无线场景下的远程访问认证和密钥交换问题及其相关问题。主要工作内容和创新成果如下:1)提出了一种非对称式的认证和密钥交换方案—AEAS (Asymmetric ECMQV-based Authentication Scheme)方案,它实现了对客户端的传统口令认证和对服务端的公钥认证方式。AEAS方案中的用户口令认证方式具有零知识安全属性,它允许用户使用弱口令,并能抵御各种字典攻击、重放攻击和服务端口令验证库泄密后的直接假冒攻击。与其它同类认证和密钥交换方案相比,AEAS方案具有最少的公钥计算开销,非常适合于移动无线场景下的轻量级无线终端。本文在随机神喻模型(Random Oracle Model)下证明了AEAS认证协议的安全性。此外,还提出了一种高效的双因子认证协议-ATAP(AEAS-based Two Factor Authentication Scheme)协议。2)分析了IPSec协议与其它中间网络设备(包括现有的NAT网关和未来IPv4/IPv6网络共存期间的NAT-PT网关)的互操作问题,对现有的IPSec与NAT网关互操作方案进行了改进,实现了IPSec在IPv4/IPv6网络共存期间对NATv4、NATv6以及NAT-PT网关的自动探测和基于UDP隧道的透明穿越。提出了一种新的UDP隧道封装机制-NATPT-T隧道模式,可实现IPv6子网/主机与IPv4子网之间基于IPSec的应用互通。3)提出了一种会话层远程访问移动解决方案—LRAM-VPN(Lightweight Remote Access Mobile VPN)。LRAM-VPN采用专为无线网络设计的WTLS协议来建立从移动终端到企业网络的端到端安全隧道,支持移动节点在不同无线网络之间的漫游,并保证上层应用的不间断性。此外,LRAM-VPN方案采用了不同措施来提高TCP和UDP应用的性能,同时也提高了无线链路带宽有效利用率;