在信息化、网络化高度发展的今天,新一代网络技术不断革新,虚拟专用网(Virtual Private Network,VPN),因其具有安全性、可靠性、保密性和虚拟性等诸多优点,得到了越来越广泛的应用。VPN是建立在公共通信基础设施上,通过隧道技术和安全配置等手段完成类似专用网的安全数据通信。IPSe(cIP Security,即IP安全协议),是由IETF(Internet Engineering Task Force,因特网工程任务组)提出的一套IP安全标准,它在IP层对数据包进行高强度的加密和认证,从而可以保证VPN通信的完整性和保密性。IKE(Internet Key Exchange,即Internet密钥交换)协议是IPSec协议族的核心,负责动态协商和管理IPSec安全联盟(Security Association,SA)。本文从对VPN和IPSec的基本原理及技术的讨论开始,详细研究了IKE协议。对IKE协议的基本功能以及各阶段的交换模式和使用工具进行分析,这些用于IKE协议的交换过程。研究了IKE协议的安全性问题,针对中间人攻击进行分析并提出现有抵御中间人攻击方法的不足,设计了一种改进cookie生成算法以抵御中间人攻击;对IKE协议中的预共享密钥认证方案分析了其安全性缺陷,在协议的交换过程中,身份验证阶段同样容易遭到中间人攻击,针对此类缺陷做出了改进;在前两种改进方案的基础上设计了一种不需要加密的三方口令认证IKE协议。同时在以上研究的基础上对IKE进行了合理的功能模块划分,设计了改进的IKE协议系统模型,并在windows2000下用C语言具体实现了该系统各模块的功能。