随着近年来Internet的爆炸性增长，其安全性问题日益突出。IPSec(IP security)是在IP层实现数据通讯安全的协议，在IP层实现的主要优点有：1）高层的安全技术仅仅保护单个高层协议，而IP层实现可以保护高层的所有协议；2）低层的安全技术仅仅保护单个的传输媒介；3）IPSEC能够在后台提供给用户透明的安全服务；4）IPSEC能够在不可信的网络上创建安全隧道。 IPSec可以“无缝”地为IP引入安全特性，并为数据源提供身份验证、数据完整性检查以及数据机密性保护机制，可以防范数据受到来历不明的攻击。IKE(Internet key exchange)协议的目的是在IPSec通信双方之间建立安全联盟以及经过认证的密钥材料。IKE是一种混合型的协议，它极其复杂，其安全性问题一直是安全专家以及工程实施人员研究和关注的焦点。 IPSec的标准定义文档多达十几个，内容广泛，细节繁杂。不仅对操作系统内核和网络协议栈进行操作，而且涉及后台进程与内核通信方式，所以对IPSec协议的理解要求有广泛的知识贮备和扎实的基础理论。 论文主要对IPSec协议中密钥管理和安全联盟的建立过程——IKE协议的内容以及相关协议内容进行研究。对于IPSec穿越NAT存在的问题，论文提出了自己的一种解决方案；基于身份的签名体制不仅使得我们不再需要CA，其可以将任意字符串作为公钥的能力也令其有了更多的应用，所以我们在Linux2.4.20和FreeS/WAN-2.05的基础上，实现了IKE的基于身份的签名认证。