自從IPSec（IP security)標準的最終版本發行之后，在IPSec VPN的安全性、可靠性和易管理性等方面，給了企業的網絡管理員很大的信心。當網絡管理員開始配置基于IPSec的VPN時，需要密切關注IPSec標準中的身份驗證，以便能夠支持遠程的接入。
在三種支持IPSec的IKE（Internet Key Exchange）規范驗證類型中，只有基于數字鑒定的驗證能夠支持遠程用戶的安全接入,而數字鑒定需要企業網支持公共密鑰架構(PKI,Public Key InfrastrUCture）。
實際上，能在其企業的IT基礎設施內部擁有完整的PKI和數字鑒定的組織很少。但是，企業網絡擁有大量已安裝的用戶驗證系統，它們是以其他一些技術為基礎的，如RSA的SecurID卡，或者是通過RADIUS服務器訪問的用戶/密碼數據庫。實際上，可以利用這些認證機制實現IPsec。
CRACK用不對稱認證
適當改變IPSec的目的是使遠程接入的用戶更容易使用基于IPsec的產品，這種改變最困難的領域在于終端用戶的驗證。在XAUTH（eXtended Authentication）、混合驗證（Hybrid Authentication）和CRACK（Challenge/Response Authentication of Cryptographic Key）這三個驗證系統中，CRACK是最新的，它允許不對稱形式的驗證。
通過CRACK協議對IKE添加一個新的驗證方法，保留了IKE原有的安全性能。這是存在于CRACK和XAUTH和混合驗證之間的主要差異。CRACK的一個重要目標是不必為可用性而犧牲安全性。
CRACK驗證
將對稱的VPN驗證方法改為不對稱的驗證方法的實現方法是，將PKI用于VPN服務器，而將傳統認證方法(LAM )用于VPN客戶，這是CRACK的主要屬性。
CRACK認證過程
當VPN服務器和終端用戶開始其驗證對話時，用戶表明他需要使用CRACK，如果VPN服務器支持CRACK，它就會通過出示其數字鑒定的驗證來做出響應。這種對話提供了VPN服務器到終端用戶的明確驗證。
許多VPN廠商在他們的產品中提供了“微型PKI”，它能為服務器發放鑒定，或者能夠使用windows 2000 Server的簡單PKI產品。
一旦服務器對用戶進行了驗證，那么對服務器進行驗證就是用戶的責任了。在CRACK體系中，用戶對服務器的鑒定采用LAM。CRACK可支持任何LAM，包括簡單的用戶名/密碼對、詢問/響應標記、時間標記，如SecurID等。CRACK允許終端用戶和VPN服務器之間任意長的對話，這一點能夠支持一些重要的特征，例如，改變標記卡上的個人識別碼等。
只有當用戶進行了完全的鑒定之后，才產生了IKE的安全聯合，然后，建立了VPN隧道。
CRACK可以使遠程接入的用戶能夠使用LAM，它是第一個能夠保持IKE互驗性能的提案。在遠程接入VPN時，與傳統的IPSec VPN相比，網絡管理員對CRACK具有同樣的信心。