IPSec/VPN安全策略管理原型系统(SPMS)较好地解决了IETF建议的安全策略系统(SPS)中存在的缺少策略一致性检查和策略自动调整机制等问题.它采用并扩展了DEN技术中的策略类信息模型来进行系统设计,而且采用了COPS和LDAP作为安全策略分发的网络信息交换协议.在该系统中,用户利用可视化工具可以对安全策略进行初始化和修改,然后通过策略管理服务器处理后分发到各个安全域.策略管理服务器作为该系统的重要组成部分,提供对用户配置的策略进行解相关、检验的功能.在安全策略管理的形式化描述中,提出了把安全策略分为需求级安全策略和实施级安全策略,这种区分允许需求转化为策略的过程自动化,区分了安全需求和特定的IPSec安全策略,并且还对策略正确性以及策略冲突进行了研究和讨论.在策略模块的设计中,提出了两层结构的设计思想:下层处理和本地IPSec内核之间的通信以及管理策略数据库;上层通过COPS/SPP协议交换来实现安全策略通信协议.策略模块两层结构允许策略模块操作的高度并行性,因而提高了运行效率.任务的分离也使得系统更容易管理和控制.