IPSec-VPN是目前VPN技术最广泛的实施方式，Femto安全网关使用IPSec-VPN作为实施数据安全的手段，为Femto基站与核心网数据通信提供安全服务。但IPSec本身的身份认证功能较弱，不足以处理Femto系统大量基站的认证接入工作。公钥基础设施PKI(Public Key Infrastructure)是一个标准化、通用的安全平台，可以弥补IPSec身份认证功能的不足，数字证书则可以解决Femto系统各网元相互间的信任问题。EAP-TLS协议提供了一种基于数字证书的双向认证方式，安全性和性能开销能较好地平衡。本文的研究课题是根据IPSec-VPN的原理，以及Femto安全网关的架构和技术特点，设计一种应用于安全网关的数字证书认证方案。该方案引入PKI作为实施身份认证的体系，遵循PKIX标准的工作流程及X.509v3的数字证书格式，采用EAP-TLS协议作为实施证书认证的流程处理，并在Femto基站与安全网关间使用IKEv2协议封装认证消息，安全网关与AAA间使用Radius协议封装认证消息来进行认证流程的消息交互，由安全网关和AAA对Femto基站的认证消息共同处理。同时，该方案根据开源软件strongswan的架构及特性，实现了证书认证的流程，以及方案相关参数的动态配置。本文首先介绍了VPN技术和IPSec协议的概念和关键技术，分析IPSec-VPN的实施方式；然后指出IPSec身份认证功能的不足，引入数字证书认证的概念，分析了PKI和证书认证的基本概念和主要标准、数字证书X.509的格式标准以及EAP-TLS协议的原理和交互流程；接着深入分析了安全网关的硬件架构和软件架构，阐述了安全网关数字证书认证方案的设计，方案使用EAP-TLS协议作认证接入的消息交互实现，通过TLS握手来生成加密使用的主密钥，并以基站到安全网关再到AAA作为方案的总体架构，同时研究了方案的具体实现，以及通过外部配置管理系统读写strongswan配置文件的方式对方案相关参数动态配置的实现；最后通过对数字证书认证功能模块的测试及分析，验证了该方案的正确性及实际应用价值。