IPv6作为下一代网络的首选协议提供了丰富的地址空间、简洁的网络配置、以优良的可扩展性,良好的QoS性能、以及对安全性和移动性的支持,特别是在IP层上实现了基于密码学的端到端的安全框架IPSec,极大地提高了网络的安全性。但是内嵌了IPSec的IPv6协议虽然能够解决一部分安全问题,但仍然不能满足实际需要。如何在IP层提高网络安全性值得深入的研究。具体工作如下:本文以OSI安全体系结构模型为基础,首先分析了IPv6网络的安全体系结构,并给出了IPv6网络在各个协议层上所提供的安全需求视图分析,然后阐述了各个协议层存在的安全威胁。并重点对IPSec协议的安全性进行了分析。作为IP层安全体系架构的IPSec协议,尽管体现了良好的安全性能,但是根据以上分析,IPSec所能解决的安全问题仍十分有限,也存在一定的安全缺陷。因此本文以IPSec协议为基础,以安全视图分析为需求,为构建具有高安全性的IP层安全架构,提出了一种安全性较高,性能较好的IPv6网络中IPSec架构的安全增强设计方案。本方案从功能、安全强度和实现性能等多个方面对IPSec进行了增强设计。在功能上扩展了IKE密钥交换协议的实体认证能力,在性能上对IKE等协议进行了一定的优化,在安全强度上给出了三种重要的密码算法ECC、AES和SHA-2在IPSec协议中的应用方案。此外移动IPv6是IPv6协议的重要组成部分,IPSec增强设计应包含对移动网络的支持。针对移动环境的特殊性,本文使用了改进的IKEv2协议来实现移动IPv6网络中任意两个节点之间端到端的传输安全以及移动节点的接入认证安全。