新一代因特网的IPSec协议是实现VPN的一个主要途径,但是用IPSec保护一个IP包之前,必须先建立一个安全关联SA,如果要自动建立SA,就需要Internet密钥交换(IKE)发挥作用.IKE协议是实现IPSec等网络安全协议的密钥管理的基础,因此IKE的安全性就决定了整个网络安全协议的安全性.对于IKE协议的理论基础以及工程设计实现的研究就显得十分重要.该文首先从宏观角度论述IPSec的整体结构以及IKE协议在IPSec中提供的主要功能;阐述了IKE协议的设计思路和工作原理;近而对IKE协议的安全性从操作系统、密码算法以及协议本身几个方面进行了分析;给出了在Linux下实现IKE的具体方案,并提出了PKI和IKE相结合的方法,另外给出了增强IKE密码强度的具体方案.