IPv6作为下一代互联网的核心正在经历着从实验室走向商业化、产业化的发展进程中,它的安全即意味着未来网络的安全,作为IPv6基本组成部分的IPSec正担负着这一使命。本文以IPSec作为研究对象,目的是研究和探讨如何应用IPSec在网络层为IPv6的网络通信提供安全保障,以满足日益增长的网络安全需求。本文首先陈述了IPv6的产生、发展状况、它与IPv4的区别及其主要特点。然后重点阐述了IPSec的体系结构及其安全机制。接着提出了不同工作模式下的IPSec在IPv6网络中的一些常用部署方案,并详尽地论述了IPSec在Linux 2.6平台上的实现和在IPv6校园实验网中的应用部署,从人工配置和IKE守护进程自动配置两个层面,结合预共享密钥认证和X.509证书认证两种方式,从实践上验证了IKE协商和IPSec的安全机制,实现了在网络层为IPv6提供安全保障的初衷。最后总结全文,对今后的工作进行了展望。在进行课题研究的过程中,本文所做的工作主要有以下几个方面。1、研究了IPv6在全球的发展状况,重点陈述了IPv6在我国的发展历程和我国在促进IPv6标准化发展方面所做的工作;2、深入研究了IPv6的安全协议集IPSec,简要介绍了安全协议的报文,详尽论述了AH认证过程和相关的认证技术,如hash函数、消息认证码MAC和数字签名技术。在密钥交换和管理方面,着重阐述了Diffie-Hellman密钥交换的具体过程、ISAKMP报文的通用载荷,图解式地说明了IKE交换中所传递的消息及其格式,对主模式和积极交换模式中所生成的密钥信息和认证信息进行了形式化描述;3、通过对大量IPSec常用部署案例的分析,本文提出了一些保障数据安全和保证协议安全的常用解决方案,并对IPSec隧道的嵌套部署及其处理过程也进行了细致地表述;4、在IPSec的应用方面,国内同课题的研究中没有人工配置IPSec连接的相关表述。本文研究了人工配置IPSec连接这一过程,并和IKE守护进程自动配置进行了对比,一方面阐明建立IPSec连接需要从哪些方面进行配置,另一方面陈述这两种配置方式的优点和局限性,用以说明哪些工作可以由IKE守护进程自动完成,但是哪些工作仍需人工配置;5、国内同课题的研究在IPSec的应用方面对预共享密钥认证方式的应用很多,但对X.509证书的应用几乎没有。本文则加强了对这一问题的研究力度,对X.509证书的产生、应用以及为公钥证书产生指纹的技术都进行了详细论述,并对预共享密钥的随机生成也进行了说明;6、对于IPSec在IPv6校园实验网中的应用,本文以Linux2.6作为平台,从安全需求分析入手,结合网络拓扑陈述了每一应用的具体部署过程。在连接测试中结合实验数据分析、说明了安全策略SP和安全关联SA各自的作用和特点,对racoon自动协商IKE SA和IPSec SA的动态过程以及IPSec SA的活动参数进行了注解。最后,对每一具体应用进行了客观的安全性评价。