在IP安全標準最終版本完成后的兩年中，企業網絡管理員已經對IPSec VPN的安全性、可靠性和可管理性有了信任感。當網絡管理員開始部署基于IPSec的VPN時，若想完全地支持遠程訪問，就必須注意IPSec標準的幾個重要方面。

在IPSec Internet Key Exchange (IPSec Internet密鑰交換，IKE)規范支持的三種認證中，只有基于數字證書的認證才能為遠程用戶提供安全的訪問。數字證書需要企業網提供幾項額外的服務，這些服務通稱為公共密鑰基礎設施(PKI)。

目前有三種為解決鏈接遠程訪問用戶與諸如SecurID、RADIUS這類原有認證方法(LAM)的系統提交給了Internet工程任務組，其中包括eXtended Authentication (擴展認證，XAUTH)、Hybrid Authentication（混合認證） 和Challenge/Response Authentication of Cryptographic Keys(密鑰問答認證，CRACK)。

這三種方法中最新的一種方法，即CRACK允許在IKE協議中直接進行非對稱形式的認證。利用CRACK向IKE增加新的認證方法，使專為IKE精心設計的安全特性得到了保持。而這正是CRACK與其他IKE認證擴展方法之間的主要不同之處。CRACK的關鍵目標是不以犧牲安全性換取可用性。

在CRACK建議中，向IKE增加了第四種認證方式。當VPN服務器和最終用戶開始認證對話時，用戶表明他打算使用CRACK，如果VPN服務器支持CRACK的話，則通過提供基于數字證書的認證證書進行回答。

這種初始化對話向最終用戶提供了VPN服務器強有力的認證。盡管CRACK的目標之一是避免部署PKI，但是只有VPN服務器(而非客戶機)在CRACK中需要證書。許多VPN廠商在自己的產品中提供可以為服務器簽發證書的“微型PKI”，或提供像內置于 Windows 2000 Server中的這類簡單PKI產品。由于用戶一般只有數量不多的VPN隧道服務器，因此在避免全面部署PKI困難的同時，還可以保證基于證書的認證的好處。

一旦服務器向用戶證實了它的身份，就需要用戶向服務器證實自己的身份了。不過，用戶不必使用證書，而是選擇他所支持的LAM。這正是CRACK的關鍵特性：將VPN認證方式由對稱認證變為非對稱認證：在VPN服務器上使用PKI，在VPN客戶機上使用LAM。

利用CRACK可以支持任何的LAM，包括簡化用戶名/口令對、提問/回答令牌或像SecurID這類基于時間的令牌。CRACK允許最終用戶與VPN服務器之間進行任意長度的對話，因此可以支持像更換身份卡上的個人身份號這類重要特性。

只有在用戶完全認證后，才建立IKE階段1聯系。然后像通常那樣進行IKE階段2，接著可以建立VPN隧道。CRACK使遠程訪問用戶可以使用原有認證方式，它是第一種保持IKE相互認證強屬性的建議。

在開發和批準IKE過程中多年來謹慎分析的結果依然有效，網絡管理員對傳統IPSec VPN安全性的信任在基于CRACK的遠程訪問VPN中得以保持。

IPSec安全協議簇中的變化是為了使基于IPSec的產品可以更容易地為遠程訪問用戶所使用。變化的最棘手的問題之一在于對最終用戶的認證。基于CRACK的遠程訪問認證在提供IPSec經過實際證明和分析的安全性的同時，提供了傳統認證系統的方便性。