在下一代网络协议(IPv6)中,业界普遍接受的IP安全方案是IPsec。然而IPsec在设计之初仅针对有线网络,并未考虑节点和网络的移动性。如果在同一个“通信会话”中某一方IP地址发生改变,原有的IPsec安全关联(SA)将无法继续使用,通信双方必须重新协商新的SA,这将对IP网络服务质量产生严重影响。因此支持移动性的IPsec对于移动网络至关重要。在全面分析IPsec、IKEv2和ESP等安全相关协议的基础上,结合MIPv6和NEMO两大移动网络场景,针对上述安全问题,本文对IPsec提出一种改进方案,即利用绑定机制维持双方已有的IPsec SA,避免重新协商过程。对于MIPv6应用场景,本文主要针对两个关键环节提出IPsec改进措施：家乡代理(HA)注册和通信对端(CN)注册。在HA注册过程中,移动节点(MN)与HA通过“在家乡网络建立的IPsec SA"1呆护绑定消息。接收到绑定更新消息(BU)之后,HA必须将“匹配的SPD表项”中的目的IP地址替换为MN申请注册的转交地址(CoA)；接收到BA消息后,MN必须将“匹配的SPD表项”中的源IP地址更新为其申请注册的CoA。在CN注册过程中,MN和CN同样通过“在家乡网络建立的IPsec SA"安全传输绑定信令；与HA注册不同的是,双方并不修改原有的SA,而是以此为模板重构一份新的SPD记录,并将其中的“针对MN的地址"改为申请注册的CoA。对于NEMO应用场景,本文主要针对两个关键环节提出IPsec改进措施：HA注册和移动路由器(MR)认证。这里的HA注册主要针对MR的绑定过程,具体步骤与MIPv6中的HA注册过程一致。MR认证则主要针对嵌套网络移动场景,即漫游到本地网络中的外地节点或子网首先必须与MR建立IKE会话,相互认证对方的身份,认证通过后最终建立IPsec SA。在该SA的保护下,外地节点或者外地网络方可采用MIPv6场景中的HA注册和CN注册过程将各自的IPsec SA平滑切换到新的CoA。通过采用改进的IPsec,节点移动和网络移动并不会导致“重复协商SA”,而且IP网络的服务质量也不会受到严重影响。