根据国家863计划重大项目“军用IPv6试验网MNGI(Military Next Generation Internet)”中军用安全双栈路由器要求实现数据安全性保护这一需求,要在军用安全双栈路由器中实现IPSec(IP Security)协议组指定的安全功能。IPSec协议组的安全性保障是建立在密钥安全性基础上的,为了能够确保MNGI中核心构件--安全路由器能够进行安全的密钥交换,就需要对IPSec协议组中指定的最新密钥管理协议IKEv2(Internet Key Exchange ProtocolVersion 2)的安全机制进行分析和研究,改进不足以确保安全路由器的安全性。本文的主要工作是;(?)深入研究了IPSec协议组的体系结构,根据安全路由器对密钥协商的功能需求对新版的IKEv2协议进行了功能模块的划分;结合IKEv2协议规定的协议最小化实现,提出了在路由器上对IKEv2协议的精简实现方案。(?)研究了IKEv2协议对中间人攻击和拒绝服务攻击所采取的安全机制,及协议对完美前向保密的支持。根据协议安全机制的分析结果和已知的形式化分析结果,得出IKEv2协议满足了安全协议所要求的认证性、秘密性、完整性和不可否认性。同时也发现IKEv2协议缺乏对目前主要的网络攻击方式即分布式拒绝服务攻击的检测和防范机制。(?)通过对基于UDP(User Datagram Protocol)协议的IKEv2会话到达过程的研究,得出了IKEv2会话到达的模型,在此基础上提出了和IKEv2协议中抵御拒绝服务攻击机制相结合的分布式拒绝服务攻击检测的方案。通过数学分析提出了基于IKEv2会话的二级DDoS(Distributed Denial of Service)攻击检测机制。(?)提出并实现了加入二级DDoS攻击检测机制的IKEv2在路由器上的实现方案。进行了IKEv2实现和二级DDoS攻击检测机制的功能和性能测试。根据测试得到的数据对IKEvl(Internet Key Exchange Protocol Version 1)和IKEv2的性能进行了对比;同时也对基于IKEv2会话的二级DDoS攻击检测机制进行了性能分析。