互联网作为当今社会最重要的信息基础设施，极大提高了人类社会生产以及生活的效率，但互联网的不可信因素降低了互联网作为基础设施的应用价值。为解决这样的问题，有学者提出对当前的互联网体系进行重构以实现可信的下一代互联网，但无法在短期内部署实现。因此，如何在当前互联网体系结构中对相关技术进行改进，构建从可用到可信的互联网，成为学术界和工业界的一个研究热点。　　 可信互联网的构建是一个复杂的系统工程。从互联网协议栈的维度进行分析，可信互联网的构建包含网络基础设施，基础资源服务以及业务应用三个层面的内容。三个层面同时“可信”才是“可信互联网”的完整内涵。在互联网体系结构中，网络层向上承载各种应用，向下屏蔽各式异构物理网络，是“互联互通”的关键。作为网络层寻址服务的标识，IP地址是最重要的互联网基础资源。因此，在支撑可信互联网构建的各个维度中，基础资源服务层的IP地址管理是其中最重要的环节。　　 目前，全球的IPv4地址资源趋于分配完毕，很难再对其进行规划和设计。互联网正经历着由IPv4到IPv6的演进，IPv6在协议以及地址结构层面的特征为面向可信互联网的IP地址管理技术研究带了机遇。在对互联网安全领域内IP地址(IPv4地址以及IPv6地址)管理技术进行系统总结的基础上，本文以IPv6地址为研究对象展开具体的技术研究。“IPv6地址空间元素”、“IPv6地址空间元素之间的关联”以及“IPv6地址空间元素的内部结构”构成了IPv6地址空间内涵的三个要素。通过分析IPv6地址空间三个要素与可信互联网的关系，论文在“面向互联网应用服务安全的非路由IPv6地址使用机制”、“面向用户驻地网应用服务安全的IP地址安全参数管理”以及“面向互联网审计的IPv6地址资源管理体系”等三个维度提出了用以支撑可信互联网构建的IP地址管理技术。综合整个论文的研究内容，主要贡献和创新点来自以下三个方面：　　 第一，针对“面向互联网应用服务安全的非路由IPv6地址使用机制”，论文提出了一种基于HIT(Host Identity Tag)的DKIM(基于域密钥的邮件认证技术)签名者认证方法。由于身份认证在当前互联网应用安全技术中扮演了至关重要的角色，学术界和工业界针对不同的互联网应用设计了多种“补丁式”安全扩展机制，身份认证技术在这些安全扩展机制中得以体现。通过分析DKIM范畴相关技术的不足，本文将HIT引入到DKIM范畴，对DKIM的身份认证机制进行了改进，使用HIT作为邮件发送源标识用以身份认证，并设计了包含身份管理、标识解析以及授权管理等机制在内的解决方案。　　 第二，针对“面向用户驻地网应用服务安全的IP地址安全参数管理”，论文提出了一种面向用户驻地网服务提供节点和用户主机之间IPSec安全关联参数的管理方法。用户驻地网本地网络参数配置的自动化管理将是IPv6时代用户驻地网的重要特征，但网络重编号(renumbering)事件和动态接入的存在使得相关的网络参数配置管理变得困难。由于IPSec连接面向IP地址，IP地址的变更将导致当前的IPSec连接不再有效。尽管IKEv2提供了一种动态的IPSec安全关联参数协商机制，但IKEv2的实现方法或仍然依赖静态的带外配置参数，或无法承载特定的安全需求。本文分析了用户驻地网中IPSec安全关联参数的使用特征以及优化条件，并结合DHCP(Dynamic Host Configuration Protocol)的IP地址参数配置机制，为用户驻地网服务提供节点和用户主机之间IPSec安全关联参数的管理设计了一种新的自动化方法。　　 第三，针对“面向互联网审计的IPv6地址资源管理体系”，论文提出了一种基于身份可携带IPv6地址的互联网信息源审计方法，给出了包含IPv6地址资源分配、接入控制、身份认证、地址验证以及声誉评价等技术在内的解决方案，并分析了可行性以及部署机制。可审计性作为可信互联网的一个基本特征，与IP地址管理有着密切的联系。本文从IPv6地址资源管理的角度出发，在保持互联网当前寻址体系不变的前提下，设计了携带身份信息的新型IPv6地址HIA(Host-Identifier-Imbedded IPv6 Address)。依托HIA的设计，本文对IPv6地址分配体系进行重构，提出了一种面向互联网审计的IPv6地址资源管理体系。　　 通过对互联网安全领域内IP地址管理技术进行系统的总结，以及对可信互联网与IP地址空间的关系进行分析，本文在IPv6地址空间管理的三个维度上分别提出了可信解决方案。本文的工作对可信互联网的构建问题在IP地址管理范畴进行了分解，并分别提出面向具体问题的技术方法，有力地支撑了面向可信互联网的IP地址管理。