IPSec协议为IP网络数据通信提供完整性,保密性和身份验证,并支持丰富的保护模式和操作。尽管IPSec协议有很大的灵活性,但是,IPSec安全策略的复杂语义却使配置策略极易产生冲突,从而导致不安全的数据传输。因此有必要对IPSec策略中的冲突进行检测。为IPSec安全策略建立数学模型,使用逻辑表达式表示安全策略的语义,有利于分析安全策略之间的关系。IPSec安全策略冲突可能存在于一个IPSec设备上,即内部冲突,也可能存在于不同IPSec设备间,即外部冲突。安全策略又分为访问控制列表策略和加密列表策略,其语义各有不同,因此也形成了不同种类的冲突。总的来说,访问控制列表上的内部冲突有屏蔽冲突、冗余冲突、相关冲突和异常冲突;加密列表上的内部冲突有会话重叠冲突和弱保护冲突;访问控制列表上的外部冲突有丢弃冲突、通过冲突和保护冲突;加密列表上的外部冲突同样是有会话重叠冲突和弱保护冲突。在IPSec安全策略模型的基础上,对各类冲突发生的条件形式化描述。为了自动检测安全策略冲突,用树型结构实现IPSec模型可以有效的访问安全策略。结合安全策略冲突模型,实现安全策略冲突检测算法。每当有新加入的规则,就遍历安全策略树,检验新规则与已有规则是否满足各类冲突的形式化定义,如果满足,则可以准确的报告发生冲突的规则及冲突的类别。对算法的复杂度分析和实验表明,该算法可以有效检测IPSec安全策略中的冲突,保证了IPSec安全策略配置的一致性,防止网络安全漏洞。