IPSec（IP SECURITY）是近年来发展起来的一种网络安全标准，它在网络层针对IP包进行加密和认证，以保证数据的机密性和完整性。IPSec标准由IETF（internet engineering task force）的IPSec工作组制定。IPSec作组目前尚在出台大量的Internet draft，所以说，IPSec是一个正在发展的标准。 本文是对近一年半来的IPSec标准学习和基于LINUX平台实现工作的总结。我们实验室已经开发了一套完整的VPN（virtual private network虚拟专用网络）产品，基于IPSec构建，包括网关、客户机和管理工具。我参与了这个项目。在这个过程中，我感到IPSec标准也存在一些缺点需要改进，同时也在高效实现方面做了一些探索。 本文共分四章： 第一章简要介绍了IPSec协议体系，包括总体结构、模式、安全关联、安全策略、实现方式、进出包的处理万式、ESP（encapsulation security payload封装安全载荷）、AH（authentication header验证头）、ISAKMP（internet security associationand key management protocol）、IKE（internet key exchange protocol）。还简要介绍了VPN的概念。 第二章是对IPSec协议体系的分析，其中的指导原则是复杂性会导致安全漏洞，该章结合实践体会并参考国外同行的意见对总体结构，ESP、AH、ISAKMP、IKE逐一进行了分析，介绍了一些可能的修改建议。 第三章是对高效实现的研究。指出衡量实现的三个标准是安全、性能、可管理性。其中谈到硬件加速、大规模并发隧道、添加国密办算法、提高可管理性等问题，都是对开发工作的总结。 第四章介绍了IPSec的一些发展趋势和可能在近几年内采用的新技术。