IPSec是IETF提出的IP安全标准,是在IP层对数据包进行高强度的加密和验证,使安全服务独立于各种应用程序,利用IPSec构建VPN代价低廉,可扩展性强,得到越来越广泛的重视.该文针对金航网内部应用安全需求,提出利用IPSec在金航网上构建面向应用的虚拟专网,保证端到端的通信安全.论文在深入分析IPSec安全协议基础上,通过解剖LINUX下开放源代码VPN软件FreeSWan,给出了LINUX下实现IPSec VPN的总体框架,以此为基础,对策略管理进行了卓有成效的研究,并结合金航网实际,设计了金航网IPSec VPN应用框架,论文在IPSec安全策略管理方面的主要贡献为:1.提出了基于组管理的分布策略管理应用模型,通过在每个路由域上建立策略服务器,实现集中的策略管理和灵活的VPN组管理,解决了用户配置策略的问题.2.提出了策略分层表示方法,管理员只需要配置高层组安全需求即可.设计了由组安全需求生成低层安全策略的算法,同时解决了VPN策略与内容检查策略的冲突问题.3.利用策略服务器生成安全关联,省去了利用IKE通信生成安全联接的协商过程.4.解决了策略节点和策略服务器间相互身份认证问题.