基于策略的IPSec密钥协商在Internet环境下应当解决如何描述安全策略、如何解决不同实体之间的安全策略冲突以及用户的鉴定和授权等问题。但是现有的IPSec策略管理机制仅仅解决了网络层数据包的安全保护规则生成问题,对于是否应该生成以及按照何种策略生成却无能为力,影响了IPSec的进一步推广和实施。于是本文在研究了现有的安全策略机制的基础上,将“信任管理”的概念引入了IPSec的策略管理。“信任管理”采用了一种统一的“安全策略描述语言(断言)”不但解决了如何描述IPSec的安全策略的问题,更将用户的鉴定和授权统一起来。“信任管理”作用在IPSec密钥协商的过程中。通过一致性检验机构接收IPSec提交的安全策略与IPSec自身信任的安全策略相比进行一致性检验,从而确定了该IPSec的密钥协商过程是否符合“信任管理“的规范,也就确定该行为是否被许可以及在何种限制条件下的许可。这样就进一步解决了安全策略冲突的问题。本文就是在此理论基础上初步实现了一个基于KeyNote信任管理的IPSec策略管理系统。此外,在分布式操作环境下IPSec的策略管理还应包括:如何解决IPSec的安全策略的存储、各个IPSec实体如何获取自己的安全策略、如何与集中管理系统进行通信等问题。在此前提下,本文又提出了一个基于CIM/WBEM的IPSec策略管理模型,并初步予以实现。为实现新的、可行的IPSec策略管理机制做出了有益的尝试。