终端主机之间的安全服务可以在网络中的任一层实现,如在传输层、应用层使用SSL/TLS,在网络层使用IPSec。在这些安全措施中,IPSec最适合为终端主机之间的双向通信提供安全服务。IPSec实际上是一个端到端模式,而不是基于客户机——服务器模式设计的,因此所有的IP应用都可以使用IPSec来保护通信。另外,下一代网络层协议IPv6强制使用IPSec来提供安全服务,故IPSec应用将主要在IPv6网络中展开。IKE作为IPSec的密钥交换协议,IPSec/IKE的很多参数都需要在建立安全信道的两端事先协商好,要求主机两端配置建立安全信道时所需的参数,因此,IPSec安全信道建立过程比较复杂。目前,大多数主机之间的端到端IPSec信道仍需通信双方手动配置共享密钥和安全策略文件,这大大限制了主机之间端到端访问在实际中的应用。虽然已有研究方案提出了主机之间建立端到端IPSec安全信道的IPSec/IKE策略自动配置方法,然而这些解决方案都不完善,没能很好的解决IPSec/IKE策略自动协商配置方法的灵活性和效率问题,给系统引入了一些不必要的管理开销,所以需要对原有解决方案进行改进。新的方案既要能够实现IPSec策略的自动配置,同时还可以适应节点不同的分布特性,减少因管理网络节点带来的开销。本文在对现有方案分析研究的基础上,提出了一种改进的、状态管理开销更小、适用于移动IPv6网络的端到端IPSec策略自动配置方案。新方案沿用了原有方案的IPSec策略自动配置思想,基于组播对成员进行状态管理,采用按需驱动的思想改进了在线成员列表的获取方式,解决了已有方案消息报文数量大的问题。最后,通过仿真与原有方案对比分析表明,新方案的状态管理开销更小,建立安全策略用时更少,在减少状态消息报文数量方面具有明显的优势。