移动业务的不断增多对移动网络的安全性提出更高的要求,为实现移动节点的网络漫游,构建一个完善的网络体系势在必得。移动VPN技术由于自身的优良性能能有效的满足用户对移动环境的需求和提供安全的信息服务。IPSec协议作为移动VPN的网络层技术,且在IPv6中强制使用,其重要性不言而喻。它在IP层对数据包进行严格的加密和认证,提供了数据完整性检查、机密性保障以及身份认证等功能。IKE协议作为IPSec的核心,规定了对IP报文的处理方式。本文首先介绍了VPN和IPSecl的基本原理,认真研究了IKE协议,包括IKE的组成、载荷、IKE的交换阶段、交换过程以及各种密钥信息的生成,尤其对主模式下预共享密钥认证第一阶段IKE SA的协商进行了重点研究。针对IKE对移动网络中对动态IP地址的用户支持有限且对通信双方身份的保护和验证不足等方面,提出了当移动节点连入网络后应积极的向所属域核心路由器提供其节点信息,然后将身份标识信息与预共享密钥PSK进行关联,完成在移动网络中安全的IKE SA协商,最后获得IPSec SA和一个虚拟内网IP,实现移动节点访问企业内部资源的权限。最后,将IKEv2与原IKE协议进行比较,指出了IKEv2的一些扩展功能如远程访问采集、PKI、NAT穿越。IKEv2认证方式采用预共享密钥认证和数字签名认证两种。并简单介绍了IKEv2的三种交换类型和另一种密钥交换协议JFK。在linux平台下,采用支持IKEv2协议的strongswan软件,设计了一个模拟实验来验证使用虚拟IP地址的远程工作者(Road Warrior)可以通过VPN网关安全访问子网资源。在此过程中对IKEv2密钥协商中不能确定通信双方是否已经真的建立连接的问题进行了改进,得出改进后的方案虽然增加了协商时间,却减少了系统不必要的资源浪费,这样更能增强对移动IP网络的支持。