随着Internet的迅速发展,网络安全问题越来越受到人们的关注。IPSec是目前适用于Internet通信的一种安全技术,可为运行于IP上层的TCP,UDP等协议提供保护。而由IETF制定的因特网密钥交换协议IKE(Internet Key Exchange)则是一种在通信双方进行IPSec的处理过程中对双方身份进行鉴别,同时进行安全策略的协商,以及处理会话密钥的交换协议。由于IKE是由另外三种协议(ISAKMP、Oakley和SKEME)混合而成的一种协议,其实现相当复杂。IKE第一版设计的复杂性导致其成为了整个IPSec系统速度的瓶颈。为此,IETF自2002年2月开始组织IKEv2的起草工作,并在2004年9月23日提出了第17号草案,IKEv2正式的rfc文档也将在不久后推出。从IKEv2的消息交换流程可以看到,在整个消息交换,包括IKE_SA以及Child_SA建立的过程中,通讯双方都需要根据自身生成的一些参数,以及对方传递过来的一些参数来进行很多复杂的计算,例如各种密钥的衍生,对消息的加解密和完整性校验,以及用于对双方身份进行验证的AUTH载荷的计算等等。这些计算如果完全依靠软件来完成将是一件非常耗时的工作,它将大大的增加IKE的延时。而解决的办法就是用硬件来代替软件进行这些操作,实现硬件加速的功能,从而降低延时。这里所用到的硬件就是安全协处理器。安全协处理器实际上起到的就是硬件加速的作用。它可以代替软件来实现一些安全通讯协议,如IPSec,PPTP,SSL,IKE等等。目前,要在网络硬件设备上加入安全功能,其中最重要的方法就是用一个安全协处理器和一个网络处理器或者通用处理器一起工作。安全协处理器负责系统中与安全性相关的任务,允许非安全处理器去完成主要的系统功能。这种功能上的分离简化了设计流程并且提高了系统性能。本文分为五章。在第一章中对IKEv2协议的背景和发展做了基本的阐述,同时对IKE和IKEv2作了比较。第二章中主要对IKEv2协议的密钥交换机制以及其中的各种算法作了介绍。在第三章中介绍了安全协处理器的基本功能模块,以及它在对于加速安全协议算法实现中的重要作用。在第四章中介绍了安全协处理器提供给上层应用程序的一层软件接口SDK。在最后一章中将阐述一个完整的实现IKEv2的系统架构,包括了四个层次结构:IKEv2的应用协议层,与硬件协处理的SDK接口层,硬件的驱动层,以及最后硬件对IKEv2算法的实现层。