IP协议是目前大多数网络的基础。但是IP协议本身是不安全的。IPsec协议对IP层数据进行加密和验证,来保证网络通信的安全性。互联网密钥交换协议(IKE)是IPSec的重要组成部分,用于在IPsec对数据进行加密之前,对通信双方的共享密钥等安全参数进行协商、交换和管理。IKEv1协议是由ISAKMP、Oakley和SKEME三个协议组成的一种组合型协议。IETF工作组于2005年10月发布了IKEv2,IKEv2在第1版协议基础上进行了全面的优化和改进。但是IKEv2也有它自己的缺陷。本文首先介绍了IPSec协议,指出IKE协议在整个IPSec协议中的地位和作用。而后对IKEv1协议进行分析,指出了IKEv1协议的弱点和在安全上的不足。然后针对IKEv1的弱点,分析JFK协议、Arcanum协议,以及Hossein Haddad的提议等诸多IKEv1的改进协议,并重点介绍了IKEv2协议。针对IKEv2协议在安全方面的弱点,借鉴其它几种改进协议的思想,提出了采用client puzzle的方法对IKEv2协议进行改进的方案,以及针对IP分片攻击的防御方法,和Diffie-Hellman公私钥对重用的改进方法。本文介绍了client puzzle的基本概念,以及client puzzle的应用场合和采用的puzzle难题类型,实现了改进后的IKEv2协议,并测试了采用client puzzle后的系统性能。IKEv2系统由管理子模块、消息协商子模块、消息处理子模块、加密算法子模块和内核通信子模块等5个子系统组成。本文对各个子模块的功能划分进行了描述,并介绍了其工作流程。本文最后给出了系统的测试结果,表明系统能够成功运行。