信息社会中，信息具有和能源、物资同等的价值。具有价值的信息必然存在安全性的问题，特别是当这些信息通过Internet进行传输时，很容易遭到别有用心者的恶意攻击和破坏。随着国民经济的信息化程度的提高，大量情报和商务信息都离不开Internet，信息的泄露问题也变得日益严重，因此，研究计算机网络的安全性也越来越重要。 因特网与大多数包交换网络都是建立在Internet协议(IP)基础上的，因而，要解决这些网络的安全问题，首先必须解决IP的安全问题。而IP安全(IPSec)协议正是解决IP通信安全的一个可行方案，它使用通用的密码认证协议和加密算法来保护IP通信的完整性和保密性。 本文在介绍TCP/IP的协议体系结构的基础上，阐述了IPSec技术在IP网络层实现网络安全的普遍性。组织结构如下： 第一章介绍了IPSec的背景和本文研究的问题。 第二章就TCP/IP的体系结构和IPv4/IPv6/TCP的数据报格式进行了回顾，尤其是与安全相关的格式部分。 第三章对IPSec的安全体系结构，加密验证算法，认证头(AH)/封装安全载荷(ESP)/Internet密钥交换(IKE)的相关知识进行了描述，并对关键算法进行了仿真和测试。 第四章对IPSec的不足和改进方案进行了详细分析。 IPSec尽管提供了比较完备的安全保护能力，但实际应用中，由于性能、QoS、与新应用业务冲突等原因，IPSec并没有被广泛规模应用。同时IKE因为过于复杂，身份保护缺陷、效率低下和难于管理等原因面临应用的挑战。如何有效解决这些问题，是当前网络安全领域共同致力的一个方向。本文在此背景下，对其中的一些问题进行了原因和改进分析，简单的原理分析表明相应改进是可行的。主要改进如下： 1.IPSec的安全技术研究1.通过修改IKE安全关联初始化交换(IKE_sA_INIT)和IKE认证交换(IKE_ATH)交换流程以保护发起人的身份。 2.利用预共享密钥或已知的公钥对发起人的身份进行加密传输，以保护发起人的身份。一方面可以避免修改IKE_sA_INIT的交换流程，同时提高破解难度。 3.对IKE_SA更新密钥(IKE_SA Rekeying)进行改进，去掉密钥材料与SK_d的关联性，使密钥的重新协商具备了完美前向保密(PFS)特征。 4.引入配置载荷(CP)和删除载荷(D)，使IKE实现周期性重新认证，并删除老SA的功能，进一步提高IKE的网络安全性。