IPv4协议中定义的IP数据包本身并不包含任何安全特性。很容易便可伪造出IP包的源地址、修改其内容、重发以前的包以及在传输途中拦截并查看包的内容。针对IPv4的先天不足，IPSec协议提供了一种标准的、健壮的以及包容广泛的安全机制，可用它为IP及上层协议（如UDP 和TCP）提供安全保证。 但是IPSec协议要得到广泛的应用，必须解决如何在Internet中进行密钥的自动协商问题，这就是本论文的重点。 本论文从介绍IPSec协议开始，重点论述了其中的解决密钥协商问题的IKE协议。并且结合具体的科研工作，描述了在Linux操作系统上如何实现IKE协议。全文共有六个章节。 第一章介绍了Internet的发展现状，存在的安全隐患和Internet上典型的攻击，阐述了在TCP/IP协议族的各层实现安全机制的优缺点，并介绍了虚拟私用网的概念，以及目前实现虚拟私用网的两种隧道协议。 第二章描述了IPSec协议族所包含的协议、IPSec的工作模式、建立安全关联的方法。然后重点介绍了IPSec协议族中的IKE协议，包括IKE协议的两阶段协商，IKE协议定义的负载格式，以及IKE协议定义的交换模式。 第三章结合我们的科研工作，阐述了如何在Linux操作系统中设计和实现IKE协议。包括如何在内核中创建和管理安全关联数据库，如何实现PF_KEY套接字接口和PF_KEY消息，如何设计IKE协议的主模式和快速模式的状态机 等等。 第四章描述了安全路由器的实现，安全路由器的外部接口，以及硬件加密设备的实现，并对安全路由器进行了测试。 第五章对全文进行了简单的总结，并给出了一些可用于提高虚拟私用网效率的技术。