安全问题己经成为因特网进一步普及的一个关键问题。安全的概念不再像过去那样仅仅集中于采用各种过滤机制防止入侵者进入,而是需要提供更高的访问控制以及更加全面深入的安全保护。而基于密码学基础的IPSec协议和IKE协议是解决公用网上IP数据传输安全性的一个有效手段。如何设计构建满足IKE协议要求的密钥交换系统正是本文的目的。IKE (Internet Key Exchage)协议是IPSec协议族的重要协议之一,负责动态协商和管理安全关联。它是由ISAKMP协议、OAKLEY协议、SKEME协议三部分组成的混合协议。IKE协议提供的安全功能覆盖了IP层次安全的四个方面:身份鉴别、机密性、一致性和密钥管理。论文首先介绍了IPSec协议。接着深入分析了IKE协议,包括IKE协议的组成,协商过程,消息格式及IKE协议的安全性,并在此基础上提出了一个可行的IKE实现方案,给出了一个全新的模块架构。然后,描述了该方案的各个模块的设计思想和功能划分,并对相关的主要数据结构和流程进行了介绍。同时深入分析了WINDOWS系统下应用程序与核心层通信的消息机制。最后,对IKE密钥交换模块进行了测试,并分析了测试结果。