随着计算机网络的发展，网络中的安全问题也日益严重。与其它安全机制相比，网络层安全机制主要的优点是它的透明性，即提供安全服务时不要求对应用层做任何改变。对于保护IP数据报的安全而言，IPSec是目前主流的网络层安全机制。它为IP层及其上层协议提供了数据机密性、完整性、数据源身份认证、抗流量分析和反重放保护等安全服务。 本文首先介绍了IPSec的体系结构和实现机制以及目前它的研究现状与进展，并对其应用进行了详细的分析研究。在基于IPSec的具体应用中，加密算法的选择直接影响系统的安全性。传统的DES等加密算法安全强度不足，主要表现在密钥长度过短、不能抵御差分分析和线性分析攻击，因而存在相当大的安全隐患。其次，本文通过AES加密算法与DES的性能对比分析，可看出AES算法的安全优势十分明显：有良好的数学理论作为基础，没有明显的缺点和安全漏洞，加密、解密相似但不对称，因而具有更高的安全性，分组和密钥长度的多重选择也体现了该算法的灵活性。最后，本文阐述了AES算法最新的CCM操作模式在IPSec中的具体实现，并且从安全和效率两方面对其进行了性能评估。结论是AES-CCM模式在安全和效率两方面取得了良好的平衡，具有良好的应用前景。 CCM模式是一种同时提供加密和认证服务的全新操作模式，这正是它相比其他操作模式在IPSec中应用的优势所在。在基于IPSec的具体应用中，安全与效率是项目实施成败的关键。AES-CCM模式使用的计数器方式应用简单，系统开销小，可以提高加密方的效率。而AES算法是针对差分分析和线性分析提出的，它的最大优点是可以给出算法的最佳差分特征的概率及最佳线性逼近的偏差界，具有抵抗差分密码分析及线性密码分析的能力，因此AES算法的安全性在现阶段是有足够保障的。因为安全性依赖于加密算法而不依赖操作模式，加密算法的操作模式并不会损害算法的安全性，所以AES-CCM模式的安全性也是有保障的。因此在基于IPSec应用中，AES-CCM模式必将得到广泛的使用。但是，在使用AES算法时，要根据IPSec协议的定义和实际的应用情况对加密算法进行一些必要的协调，本文在这方面也做了一些探讨。 当然，在实际应用中，IPSec也会产生一些不足。如它可能对其他的协议产生影响：由于数据包经过加密，所以传统的链路层压缩技术将不会收到任何效果；另外，由于IPSec是一个端到端的协议，所以在多播环境中使用IPSec需要一定的技巧，也存在着一些目前尚不能妥善解决的问题，这主要表现在多播源验证和密钥管理上。这些都是在安全领域中值得研究和进一步解决的实际问题。