随着网络不断发展,许多对传输层和应用层协议进行性能增强的技术相继出现,而目前IPSec提供的端到端安全保护模型已不能满足这些新应用的要求。中间站点开始扮演越来越重要的角色。这需要中间站点可以访问IP数据包中的特定部分,通常是上层协议的信息,来执行智能化操作,同时还保证数据的安全性,如路由器的拥塞控制协议,TCP性能增强协议,透明代理协议,流量分析,主动网络技术等。由于网络层安全协议对数据负载实施保护后,其相关信息就不便获取,IPSec安全保护将影响到上述应用。TCP性能增强等技术特点及相关应用的分析表明,TCP性能增强技术在IPSec保护之下存在着冲突,会使TCP在无线网络下的性能大大降低,而众多使之兼容的改进方案中只有多层IPSec协议对IP数据包提供了比传统IPSec协议粒度更细的保护,同时满足了应用发展的需求。基于这些中间站点需要参与的服务应用,可构建基于多层IPSec协议的TCP性能增强安全保护模型,体系结构中各功能模块之间协同工作来实现多层结构安全体系。多层IPSec协议本身存在着诸多的问题。例如:静态映射分区不能准确定位分区、密钥管理开销加大、路由信息需事先配置、包长度增加以及安全性。优化的方法是,进行动态映射分区,有效地解决了定位分区的问题;在此基础上用多个SA协商密钥确实没有必要,仅用一个MCSA协商密钥使创建存储和密钥更新的开销降低,同时只给中间站点提供它授权进入的那些分区加密和认证密钥.形式化证明和仿真实验证明了这些优化的效果;此外也为包处理效率和安全性的进一步改善提供了空间。支持多层IPSec协议的系统是基于FreeS/WAN平台设计的。为了解多层IPSec协议报文开销增幅的情况,在各种协议模式下的理论分析是必要的,同时仍需通过实验对相关性能指标进行分析,如包来回处理延时、CPU开销、协议报文开销等。这为多层IPSec协议的研究奠定了提供了新的依据。