IPSec作为一种实施于网络层(IP)的安全协议,具有抗攻击、保护数据完整性、机密性和完美向前保密的诸多优点.IPSec安全联盟是IPSec协议的核心,如何对之进行安全有效的配置和管理是十分重要的.在分析了标准密钥协商协议后认为,在密钥协商过程中数字签名和公钥加密的身份认证方式存在着潜在的安全问题,如身份认证方式不健全,IPSec安全策略不完善等.经过对基于PKI的身份认证技术进行分析后,提出了将PKI身份认证的相关技术应用于密钥协商过程中,用于加强密钥协商实体身份认证的思想.利用面向对象的方法,对IPSec密钥协商协议中的安全要素进行抽象和归纳,提出了12个IPSec安全策略对象,并在此基础上提出了一个IPSec安全策略模型.该模型将密钥协商协议IKE、IPSec、IPSP、SA和SPD有机地结合在一起,在与标准协议保持兼容性的基础上加强了IPSec的安全性.