IPsec已成为构建VPN的国际标准之一,而互联网密钥交换协议(IKE)又是IPsec实现中首选的密钥交换协议。但由于它是一种混合型的协议,其自身的复杂性不可避免带来一些安全及性能上的缺陷。为此IETF于2005年12月正式推出新的IKE标准——RFC4306 IKEv2。IKEv2是在IKEvl基础上改进的结果,保留了第一版本的大部分特性,如身份隐藏、PFS、两个阶段的协商等特性,同时重新设计了某些部分,在强壮性、高效性和安全性上都显著提供。其中,相比之前版本增加了对扩展认证的支持。扩展认证协议是一个框架性协议,通过在IKEv2上支持扩展认证,可以用新的多种安全性更高的认证方式来取代目前白带的与共享密钥方式和证书方式。论文的研究目标通过IKE两个版本的分析对比,发现新版本的优势所在;然后分析目前EAP的实现形式,寻找一种可行的EAP与IKEv2结合的实现方式;再通过实现IKEv2来提高密钥交换的安全性,进而实现其新增的扩展认证功能,给使用IKEv2和IPsec带来更多的灵活性。论文首先分析研究了IPsec协议及相关内容掌握IPsec的体系结构和工作机制;进而分析研究IKEv2协议及其扩展功能和较之前版本的优势;然后分析扩展认证协议的应用情况,以及为了使用扩展认证RADIUS协议做出的相应修改;之后在深入研究相关协议的基础上,设计实现能够进行扩展认证的密钥管理系统。本系统运行在操作系统的用户空间,由配置管理模块、网络通信模块、密钥协商模块、载荷处理模块、算法处理模块、IPsec模块和线程处理等七大模块组成。采用NETLINK套接字与操作系统内核XFRM相关结构构建的安全数据库进行通信。本文对各个模块的设计思想和功能划分进行了描述,并介绍了其工作流程。测试结果表明,能够完成在设计的多种情况下经过协商建立IKE_SA并最终建立IPsec SA。