随着Internet的迅猛发展,越来越多的单位和个人把Internet作为传输信息的首要工具,从而导致现有IPv4网络的不安全性和敏感信息的保密性之间的矛盾愈演愈烈。为此,IETF在设计下一代互联网协议IPv6时,特别设计了IPsec,用它来保护IP及上层协议的安全。IPsec作为下一代互联网强制支持的安全机制,在很大程度上提高了IPv6网络的安全性。论文基于模块化设计思想,对IPsec进行了安全性增强研究。软件主体分为用户态和内核态,其中用户态由IPsec用户控制台模块和密钥管理进程模块实现,后者又可分为六个子模块,分别是初始化子模块、事件管理子模块、配置接口子模块、IKEv2命令处理子模块、IKEv2验证子模块和IKEv2状态库;内核态主要由数据库子模块、IPsec处理子模块和密码算法库实现,用户态和内核态之间的数据交互通过PF_KEY接口实现。作为当今IP安全标准,IPsec的安全性显得尤为重要,然而,IPsec本身存在安全隐患。一方面,IPsec的安全性体现在对通信的数据进行加密和认证,而它的安全基础来自于加密和认证算法,由于现有算法都存在被攻破的可能,因此,IPsec的安全性随时会受到威胁;另一方面,IPsec作为一个协议集,具有复杂的协议特性和繁琐的配置步骤,导致使用者在使用时缺乏针对性,并且安全性受到一定影响。基于上述问题,论文针对性的进行了模块化设计:首先,由于IPsec协议与密码算法的相互独立性,本文提出了一种替换IPsec密码算法模块的方法,从而很好的解决了由于算法性能缺陷而影响IPsec可用性的问题;然后,本文设计并实现了基于Linux系统的IPsec用户控制台模块,即以图形化界面的形式来配置和管理IPsec,它对常用的参数采用默认设置,并采用配置文件的写入和读出方式进行管理,给用户提供了使用的便利并强化了安全性。论文的重点在于对IPsec模块化结构进行分析的基础上,实现了增强其安全性的模块化设计,使IPsec具有更强的可用性。