专利名称::实现6to4隧道因特网安全协议协商的方法及系统的制作方法
技术领域:
:本发明涉及网络通信技术,尤其涉及一种实现6to4隧道因特网安全协议协商的方法及系统。技术背景随着网络规模的飞速扩大,因特网协议版本4(InternetProtocolversion4,IPv4)由于地址空间太少、安全性低等因素,已经不能够满足当今和未来网络发展的需求。随着网络技术的迅速发展,出现了因特网协议版本6(InternetProtocolversion6,IPv6),IPv6作为IPv4的升级版本,提供了巨大的地址空间,大大丰富了地址资源。但是,鉴于IPv4属于相当成熟的技术,应用普及广泛,且IPv6技术及相关设备不完备,IPv6网络不可能立刻完全取代IPv4网络,还需要很长一段时间与IPv4网络共存,实现IPv4网络向IPv6网络的过渡。IPv6网络与IPv4网络共存阶段,使二者实现互通的技术有双栈技术、网络地址转换-协议转换(NAT-PT)技术和隧道技术。6to4隧道技术属于隧道技术中的一种,用于实现分布在IPv4"海洋"中的IPv6"小岛"之间的通6to4隧道技术通常在站点的边界路由器之间建立隧道,源站点的边界路由器是隧道的首节点,目的站点的边界路由器是尾节点。该隧道技术定义了一种特殊的IPv6地址一6to4地址,该地址的前缀中蕴含了边界路由器的IPv4地址。当两站点中任意两台主机通信时,隧道首节点自动从IPv6源和目的地址中提取出隧道首尾节点的IPv4地址,在两站点的边界路由器之间建立一条IPv4隧道,上述任意两台主机通过该IPv4隧道传输数据,实现通信。隧道不需要维护任何信息,在通信开始时建立,通信结束时自动撤销。站点的边界路由器充当隧道的端点,实现双栈、6to4隧道功能,并且至少有一个全球唯一的可5各由的IPv4地址。在实现本发明的过程中,发明人发现现有技术至少存在以下问题6to4隧道技术解决的是通信问题,不能防止墓改、地址伪造,也不能提供认证和加密功能,导致通信过程中存在安全问题,不能为日益发展的IPv6网络提供安全保障。
发明内容本发明实施例提出一种实现6to4隧道因特网安全协议协商的方法及系统,以保证6to4隧道通信的安全。本发明实施例提供了一种实现61o4隧道因特网安全协议协商的方法,包括IPv6源端主机设置分别用于指示IPv6源端主机与源端网关及源端网关与对端网关之间安全操作的标识位,向所述源端网关发送数据,所述数据包含所述标识位、通信源地址及目的地址,并根据所述标识位执行相应操作;所述源端网关接收所述数据,根据所述标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略;所述对端网关根据所述新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将所述新的数据发送给IPv6目的端主机;所述IPv6目的端主才几将所述对端网关地址写入所述新数据中标识位对应的安全策略库,返回目的端主机响应值;结束标识符;所述源端网关向所述IPv6源端主机发送源端网关的通信结束标识符.所述目的端主机响应值以及通信结束标识符;所述IPv6源端主才几确认所述源端网关与对端网关的通信结束标识符。本发明实施例还提供了一种实现6to4隧道因特网安全协议协商的系统,包括IPv6源端主才几,用于设置指示IPv6源端主才几与源端网关及源端网关与对端网关之间安全才喿作的标识位,发送包含所述标识位、通信源地址及目的地址的数据,确认所述源端网关与对端网关的通信结束标识符;源端网关,用于接收所述数据,根据所述标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略;向所述IPv6源端主机发送源端网关的通信结束标识符、所述目的端主机响应值以及通信结束标识符;对端网关,用于根据所述新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将所述新数据发送给IPv6目的端主机;向IPv6目的端主机,用于将所述新数据中的地址写入所述新数据中标识位对应的安全策略库,返回目的端主机响应值。上述方法和系统实施例通过在发送的数据中设置标识位,根据标识位设置安全策略,实现了6to4隧道的因特网安全协议协商,从而使得6to4隧道能够实现因特网安全协议通信,为6to4隧道通信提供了安全保障。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。图1为本发明实现6to4隧道因特网安全协议协商的方法实施例所应用的网络结构示意图;图2为本发明实现61o4隧道因特网安全协议协商的方法实施例所应用的另一网络结构示意图;图3为本发明实现6to4隧道因特网安全协议协商的方法实施例的流程图;图4为本发明实现6to4隧道因特网安全协议协商的方法实施例应用的又一网络结构示意图;图5为本发明实现6to4隧道因特网安全协iU办商的一系统实施例的结构示意图;图6为本发明实现6to4隧道因特网安全协议协商的另一系统实施例的结构示意图。具体实施方式图1为本发明实现61o4隧道因特网安全协议协商的方法实施例所应用的网络结构示意图,00为IPv4网络,源端6to4网关21和对端6to4网关22上分别有三个位置ethO端口、sitl端口、ethl端口之间可以启用因特网安全协议(以下简称IPSec),如表l所示。表1端口\模式AH传输模式AH隧道模式ESP传输模式ESP隧道模式EthO之间台^月匕/>匕fi匕Sitl之间会bH匕6匕8匕Ethl之间能月匕能^匕由于AH认证要对称,因此,源端6to4网关21和对端6to4网关22需要同时启用,认证地址必然至少是网关处的地址。而此时数据包头是IPv6源端主机11和IPv6目的端主机12的IPv6头,这两者显然不是同一个头,所以势必发生错误,换句话说,传输模式是对通信的发起方和接收方来说的,中间的中继和转发器不能起到相应的认证和加密功能,而隧道模式是通过一条隧道传输数据的,它屏蔽了通信的发起方和接收方,变为自己的包进行传输。所以,ethO端口之间不能使用AH传输模式。同理可知si11端口之间也不能使用AH和ESP传输模式。由于到ethl端口的数据包已经变成IPv4的数据包了,即为ethl端口的数据包,网关相当于从本地发包一样,认证头地址和数据包的源、目的的地址一致,因此,ethl端口之间可以-使用AH和ESP传输沖莫式。ESP和AH模式可以同时使用,所以在网关上可以使用的模式组合有很多种,可根据用户的需求进行设定。即,除了网关可控制IPSec的启用模式之外,用户也可以选择某些模式,也就是说,用户可控制与其自身相关的配置,为此,网关需提供一个用户可以与之交互的接口,可在客户机与网关上设置一组接口实现两者之间的IPSec模式控制,即在客户机上设置用户控制接口,在网关上设置网关控制接口。通过这组接口,用户可选择sitl端口之间和eth0端口之间的IPSec才莫式组合,对于ethl端口之间的IPSec模式组合没有选择权,即一旦在ethl端口之间启用了某种模式组合,用户发出的数据包都要经过这种模式的处理。为了区分sitl端口和ethO端口之间的IPSec模式的各种组合方式,对各个模式组合设立标识位力口以区分。图2为本发明实现61o4隧道因特网安全协议协商的方法实施例所应用的另一网络结构示意图,图2所示网络是6to4网络的典型场景,可在两端主机即IPv6源端主机11和IPv6目的端主机12上配置用户控制接口,在源端的6to4路由器31以及目的端的6to4路由器32处配置安全网关控制接口。用户控制接口各个标识位的含义如表2所示。表2<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>用户即6to4站点内部主机可以选择网关的IPSec模式,各个用户能够互不干扰的采用各自的安全策略,大大提高了IPSec模式的灵活度。实际应用中,ESP也有认证功能,但AH的认证要比ESP认证功能强,因为它的认证范围包括数据包的报头,而ESP的认证只包括负载部分,所以在一些对认证功能不做特殊要求的情况下,使用ESP认证,特殊要求的可使用AH的认证。因此,这里给出了"0010"和"0011",以提供认证的级别供用户选择。由于"0001"和"0100"、"0010"和"0101"、"0011"和"0110"功能一样,可以合为四个标识位,来表示四种功能,即默认网关现有安全策略、认i正、力o密、认证和加密。如表3所示。表3<table>tableseeoriginaldocumentpage11</column></row><table>网关具有用户不能选择的加密和认证模式,这些加密和认证模式只能在网关之间进行协商,且需在用户通信之前协商完毕。因为若不然,网关之间的模式有可能不匹配,从而导致不能通信。网关之间也可以通过标识位来表示模式。网关控制接口各个标识位的含义如表4所示。表4<table>tableseeoriginaldocumentpage12</column></row><table>其中"0100"可以是ethl端口之间的AH传输或者隧道模式,"0101"表示ethl端口之间的ESP传输或者隧道模式,"0110"表示ethl端口之间的AH+ESP传输或者隧道模式。最重要的是保证网关对IPSec有绝对控制权,用户不能更改一些会影响其他用户通信的标识位。如果让用户具有对ethl端口之间的IPSec选择权,由于6to4封装的特性,这会扰乱其他用户的正常通信。通过设置用户控制接口、网关控制接口以及上述标识位的设置,能够为网关与网关之间的安全提供保证,局域网内部通信内容的安全可以通过网关和用户之间的接口来和网关互动,从而写入用户和网关之间的安全策略(以下简称SP),以进行IPSec通信。上述用户与网关之间的交互接口可使用现有技术中用户与网关之间的交互接口,网关与网关之间的接口也可使用现有技术中网关与网关之间的接口。需要注意的是,用户和网关之间的IPSec模式只能用隧道模式,而不能用传输模式,这是因为,网关不是通信的目的地,认证方式只对通信的发起方和接收方而言。所以,局域网内部安全保证4晉施可以分为不提供安全保证、认证、加密、认证和加密四种方式。也用标识位表示,如表5所示。表5<table>tableseeoriginaldocumentpage13</column></row><table>在此,可以把表4和表5写不同SP的标识位合二为一,即标识位为两个。第一标识位为表5中的标识位,用于控制用户和网关之间的IPSec模式,第二标识位为表4中的标识位,用于控制网关与网关之间的IPSec模式。以标识位"00000011"为例,这个标识位表示网关内不提供安全功能,用户选择在网关之间启用"用户选择的认证和加密,,,即"AH认证和ESP认证、加密"功能。在网关处可分开处理标识位,先取第一标识位进行处理,然后处理第二标识位。网关处客户端将从主机接收到的标识位变为不同的标识位,详见下面实施例。图3为本发明实现6to4隧道因特网安全协议协商的方法实施例的流程图,实现6to4隧道因特网安全协议IPSec协商的过程可分为用户IPSec模式选择、源端网关处理、网关协商IPSec模式、对端网关处理及确认处理五个阶段。这五个阶段覆盖了用户到网关、网关到网关、网关到用户之间的通信。具体包括以下步骤步骤IOI、IPv6源端主才几设置第一标识位和第二标识位,向源端网关发送数据,所述数据包含所述第一、第二标识位、通信源地址及目的地址,并根据所述标识位执行相应操作,即用户IPSec才莫式选4奪阶段。6to4站点内IPv6主机(即IPv6源端主才几)要和对端IPv6主才几(即IPv6目的端主机)进行通信,首先要确定安全策略,即用哪种IPSec模式对数据进行保护,用户可以通过IPv6主机的用户控制接口提供的第一标识位(如表5所示)选择网关默认的保护功能,或选择其他IPSec模式。为保证数据在用户和网关之间安全,也可以选择保证网关内部主才几安全的第二标识位。将标识位与通信的源地址、目的地址发送给源端网关。可以在IPv6主机上安装安全套接层协议(SecureSocketsUyer,SSU客户端软件,用SSL协议来保护用户发送给网关的数据。除了SSL协议来保护用户发送给网关的数据外,还可用其他协议来保护,比如个人制定的私有协议或者其他安全协议。需要注意的是,对SSL客户端而言,发送的标识位由第一标识位和第二标识位组成。第一标识位表示用户和网关之间采用的IPSec才莫式,第二标识位表示网关之间的IPSec模式。如果选择默认网关的功能,通过SSL客户端发送数据给邻近网关(即源端网关),这些数据包括标识位"x0000",通信的源地址,通信的目的地址;如果用户自己指定网关的策略,通过SSL客户端发送数据给邻近网关,这些数据包括标识位"x0001/x0010/x0011",通信的源地址,通信的目的地址;(这里的x表示第一标识位,把第二标识位"0000"和其他标识位0001/0010/0011分开,是因为网关对他们的处理不同,具体处理如下。)同时,SSL客户端根据用户指定的第一标识位的值,执行相应操作,具体为如果第一标识位是"0000",则不^i任何处理;如果非"0000",则将其对应的策略写入用户的安全策略库(SecurityPolicyData,SPD)中,建立IPv6源主机的SP,与源端网关之间协商IPSec模式。步骤102、源端网关接收数据,根据第一和第二标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略;即源端网关处理阶段。源端网关即通信发起方的6to4网关。网关客户端软件接收到IPv6源端主机发送的数据后进行处理,首先判别数据中的标识位。其次,源端网关fl出第一标识位,4艮据第一标识位的值^U亍相应的操作,即建立与用户之间的IPSec模式。具体为如果第一标识位是"0000",则不做任何处理,转处理标识位的第二标识位;如果第一标识位非"0000",则找出其对应的策略,将数据中的IPv6地址复制一份写进SPD;转处理标识位的第二标识位然后验证是否地址写入成功,返回一个响应值来表示成功与否。在处理完第一标识位后,根据第二标识位的值执行相应的操作,开始协商与对端网关之间的IPSec模式。具体为如果第二标识位是"0000",源端网关执行如下操作将源端网关现在启用的安全功能返回给用户。如果源端网关为无安全策略状态,则返回安全提示给用户;复制接收到的数据,用源端网关安全策略对应的标识位"00000100/00000101/00000110/00000111"替换标识位"x0000",生成新数据,之后触发网关SSL客户端之间的通信,将新数据安全传送到对端网关。触发通信的IPv4源和目的地址可以从用户数据里面的6to4地址格式来抽取;从用户端接收的原始数据中提取出通信的IPv4源地址和目的地址,写入本地SPD,SP建立;确认SP是否成功写入,返回一个响应值来表示成功与否。如果第二标识位非"0000",源端网关执行如下操作复制接收到的数据,将第一标识位置为"0000",生成新数据。触发网关SSL客户端之间的通信,将新数据传送到对端网关。其中触发通信的IPv4源和目的地址可以从IPv6源端主;f几客户端发送的数据里面的6to4地址格式来抽取;从IPv6源端主机客户端发送的数据中提取出通信的IPv4和IPv6源地址和目的地址,写入本地SPD,SP建立;确认SP是否成功写入,返回一个响应值来表示成功与否。步骤103、对端网关^4居新^t据中的标识位执行相应才喿作,建立相应的安全策略,返回响应值,并将新数据发送给IPv6目的端主机;即网关协商IPSec模式阶段与对端网关处理阶段。网关协商IPSec模式阶段,对端网关软件接收到源端网关软件的信息后,协商IPSec模式,即将地址信息取出,将地址信息写入自己的SPD中;完成网关之间的IPSec模式协商。对端网关接收到源端网关SSL客户端发送的数据后,具体执行如下操作抽取数据中的标识位,识別对应的IPSec模式。由于接收到的第一标识位的值为"0000",所以将第一标识位变换为对端网关和目的端IPv6主机之间的默认标识位,此处网关应该具有和本局域网内全部IPv6主机通信的默认标识位,代表局域网内部通信的一种默认安全策略,直接处理第二标识位;将通信的源地址和目的地址抽取,写入标识位对应的IPSec才莫式的SPD中,建立网关之间的IPSec模式;对于第二标识位对应的功能,网关可通过将第二标识位设置为表2中相应的标识位,来任意选择端口间的IPSec模式,如果第二标识位设置为"0100/0101/0110",则只抽取6to4地址的IPv4地址部分。如果第二标识位设置为"0001/0010/0011",则抽取IPv4和IPv6地址。至此反向SP建立。源端网关与对端网关之间的IPSec模式协商完成;确认SP是否成功写入,返回一个响应值来表示成功与否。然后进入对端网关处理阶段,即对端网关开始协商与IPv6目的端主机之间的IPSec模式。对端网关发送标识位和地址信息给目的端主机客户端一IPv6目的端主机SSL客户端。把网关协商IPSec和对端网关处理分开,是因为前者处理的是网关和网关之间,而后者处理的是网关和用户之间。步骤104、IPv6目的端主机将新数据中的地址写入新数据中第一标识位对应的安全策略库,返回目的端主才几响应值给对端网关。IPv6目的端主机接收该新数据,辨识新数据中的标识位。将新数据中的地址信息添加到第一标识位对应的SPD中。4企验是否写入成功,并返回响应4直。步骤105、对端网关向源端网关发送目的端主才几响应值以及安全套接层协议SSL客户端通信结束标识符。对端网关接收目的端主机返回的响应值,为与后续对端网关的响应值相区分,将目的端主机返回的响应值称为目的端主机响应值。对端网关将本地返回的响应值与目的端主机响应值一起通过SSL客户端发送给源端网关,同时发送SSL客户端通信结束标识符。步骤106、源端网关向IPv6源端主机发送源端网关的通信结束标识符、目的端主机响应值以及对端网关上的SSL客户端通信结束标识符。源端网关接收对端网关返回的响应值和通信结束标识符,其中,响应值包括对端网关的响应值与目的端主机响应值。源端网关一方面应答对端网关,一方面将本身产生的响应值和对端网关发送的信息一起通过SSL客户端返回给IPv6源端主机,同时发送本地的SSL客户端通信结束标识符。当使用其它协议软件时,发送本地的其他协议软件客户端通信结束标识*亇付。步骤107、IPv6源端主机确认源端网关与对端网关的通信结束标识符。IPv6源端主机接收到源端网关的响应值和SSL客户端通信结束标识符后,一方面应答源端网关,一方面对源端网关返回的信息进行处理。对端网关发送的通信结束标识符和源端网关发送的通信结束标识符都正确的情况下,实现了6to4隧道IPSec协商。能够进一步触发数据的发送,进而实现与对端主机的IPSec通信。若对端网关和源端网关发送的两个标识符不是都正确,重复上述过程。进行IPSec通信时,数据发送到网关后,由于SP已经建立,可根据IPSec正常处理流程进行IPSec处理(IPSec的正常处理流程不在本发明实施例说明范围内)。图4为本发明实现6to4隧道因特网安全协议协商的方法实施例应用的又一网络结构示意图。图4所示网络中,41为6to4中继if各由器,^孤立的6to4站点51和纯IPv661之间的6to4通信也可4吏用上述方法实施例中的具体操作,这里不再赘述。图5为本发明实现6to4隧道因特网安全协议协商的系统实施例的结构示意图,系统包括IPv6源端主一几51、源端网关52、对端网关53及IPv6目的端主机54,IPv6源端主机51可设置标识位,发送包含标识位、通信源地址及目的地址的数据,确认源端网关52与对端网关53的SSL客户端通信结束标识符;源端网关52可接收IPv6源端主机51发送的数据,根据标识位执行相应操作,产生新数据,发送给对端网关53,并建立相应的安全策略;向IPv6源端主机51发送源端网关52的SSL客户端通信结束标识符、目的端主机响应值以及SSL客户端通信结束标识符;对端网关53根据新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将新的l史据发送给IPv6目的端主机54;向源端网关52发送目的端主机响应值以及安全套接层协议SSL客户端通信结束标识符;IPv6目的端主机54将新数据中的地址写入新数据中标识位对应的安全策略库,返回目的端主机响应值。如图6所示,上述系统实施例中,源端网关52可包括接收单元521、判别单元522、第一标识位处理单元523、第二标识位处理单元524及发送单元525,接收单元521用于4妄收IPv6源端主才几发送的凄t据;判别单元522用于判别数据中的标识位;第一标识位处理单元523用于在标识位的第一标识位为非G时找到标识位的第二标识位对应的安全策略,将数据中的IPv6地址复制到SPD;第二标识位处理单元524在标识位的第二标识位为0时,复制数据,用网关安全策略对应的标识位替换数据中的标识位,生成新数据,由发送单元525将生成的新数据发送给对端网关53;将数据中的IPv4源地址和目的地址写入本地SPD,返回响应值;第二标识位处理单元524在标识位的第二标识位为非0时,复制所述数据,将第一标识位置0,生成新数据;将数据中的IPv6和IPv4的源地址、目的地址写入本地SPD,发送单元525将该新数据发送到对端网关53,并返回响应值。类似地,对端网关53可包括接收单元531、判别单元532、第一标识位处理单元533、第二标识位处理单元534及发送单元535,第一标识位处理单元533用于将所述标识位中的第一标识位设置为默认标识;第二标识位处理单元534用于根据所述新数据中标识位中的第二标识位找到相应的IPSec模式,将所述新数据中的源地址和目的地址写入所述相应的IPSec模式的安全策略库中。上述方法和系统实施例,通过设置标识位,根据标识位设置安全策略,实现了6to4隧道的因特网安全协议协商,从而使得6to4隧道能够实现因特网安全协议通信,为6to4隧道通信提供了安全保障。通过配置用户控制接口,使用户可以自由选择网关保护模式,用户保护模式的自由选择不会影响到其他用户的正常通信,保证了灵活性和方便性的有效结合。网关处有三个端口可以启用IPSec,用户可以自由组合这些位置的保护模式,极大保证了6to4隧道通信的安全。并且,实现6to4隧道IPSec协商,进行IPSec通信有效防止了6to4网关支持双协议栈所带来的安全问题,如分布式拒绝服务(DDoS)攻击、地址欺骗攻击、流量分析攻击、中间人攻击。具体原理如下能够使用带IPSec协议的更安全的邻居发现机制,有效的防治邻居发现攻击;IPSec的AH和ESP头来提供路由信息的完整性,机密性和抗重播,有效的防止篡改数据、窃听,网络侦查攻击和未授权访问;在攻击者利用伪造数据地址时,IPSec协议能够用于通信端对端的认证,防止地址欺骗攻击;"会话中间人"攻击方法原理是当信息交换双方处于安全会话建立阶段时,在信息交换双方之间插入一个应用程序,来向服务器伪装成客户端,或是向客户端伪装成服务器端。IPSec由于可以保证数据包的完整性,保密性等,能够更有效抵抗此类攻击;IPSec的隧道模式能够将原始IP数据包完全加密在它的新IP构造包的负载部分,所以对于抵抗流量分析非常有效,攻击者很难得到任何有用的信息。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。权利要求1、一种实现6to4隧道因特网安全协议协商的方法,其特征在于,包括IPv6源端主机设置分别用于指示IPv6源端主机与源端网关及源端网关与对端网关之间安全操作的标识位,向所述源端网关发送数据,所述数据包含所述标识位、通信源地址及目的地址,并根据所述标识位执行相应操作;所述源端网关接收所述数据,根据所述标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略;所述对端网关根据所述新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将所述新数据发送给IPv6目的端主机;所述IPv6目的端主机将所述对端网关地址写入所述新数据中标识位对应的安全策略库,返回目的端主机响应值;所述对端网关向所述源端网关发送所述目的端主机响应值以及通信结束标识符;所述源端网关向所述IPv6源端主机发送源端网关的通信结束标识符、所述目的端主机响应值以及通信结束标识符;所述IPv6源端主机确认所述源端网关与对端网关的通信结束标识符。2、根据权利要求1所述的实现6to4隧道因特网安全协议协商的方法,其特征在于,向所述源端网关发送数据具体为所述IPv6源端主机通过安全套接层协议SSL客户端向所述源端网关发送所述数据。3、根据权利要求1所述的实现6to4隧道因特网安全协议协商的方法,其特征在于,并根据所述标识位执行相应操作具体为所述标识位包括用于指示IPv6源端主机与源端网关之间安全操作的第一标识位及源端网关与对端网关之间安全操作的第二标识位,所述IPv6源端主^L在所述标识位的第一标识位非Q时,将所述第一标识位对应的策略写入所述IPv6源端主^/L的安全策略库。4、根据权利要求1-3中任一项所述的实现6to4隧道因特网安全协议协商的方法,其特征在于,根据所述标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略具体为所述源端网关接收到所述数据后,判别标识位;若所述标识位的第一标识位为0,则直接处理所述标识位的第二标识位;否则,找到所述第二标识位对应的安全策略,将所述数据中的IPv6地址复制到安全策略库;若所述第二标识位为0,复制所述数据,用网关安全策略对应的标识位替换所述数据中的标识位,生成新数据,将生成的新数据发送给所述对端网关;将所述数据中的IPv4源地址和目的地址写入本地安全策略库,返回响应《直;若所述第二标识位为非0,复制所述数据,将所述第一标识位置0,生成新数据,将该新数据发送到所述对端网关;将所述数据中的IPv6和IPv4的源地址、目的地址写入本地安全策略库,返回响应值。5、根据权利要求1-3中任一项所述的实现6to4隧道因特网安全协议协商的方法,其特征在于,所述对端网关根据所述新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将所述新数据发送给IPv6目的端主机具体为将所述标识位中的第一标识位设置为默认标识;根据所述新数据中的标识位中的第二标识位找到相应的IPSec模式;将所述新数据中的源地址和目的地址写入所述相应的IPSec模式的安全策略库中,返回响应值;将所述新数据中的源地址和目的地址发送到所述IPv6目的端主机。6、一种实现6to4隧道因特网安全协议协商的系统,其特征在于,包括IPv6源端主机,用于设置指示IPv6源端主机与源端网关及源端网关与对端网关之间安全操作的标识位,发送包含所述标识位、通信源地址及目的地址的数据,确认所述源端网关与对端网关的通信结束标识符;源端网关,用于接收所述数据,根据所述标识位执行相应操作,产生新数据,发送给对端网关,并建立相应的安全策略;向所述IPv6源端主机发送源端网关的通信结束标识符、所述目的端主机响应值以及通信结束标识符;对端网关,用于根据所述新数据中的标识位执行相应操作,建立相应的安全策略,返回响应值,并将所述新数据发送给IPv6目的端主才几;向所述源端网关发送所述目的端主机响应值以及通信结束标识符;IPv6目的端主机,用于将所述新数据中的地址写入所述新数据中标识位对应的安全策略库,返回目的端主机响应值。7、根据权利要求6所述的实现6to4隧道因特网安全协议协商的系统,其特征在于,所述标识位包括用于指示IPv6源端主机与源端网关之间安全操作的第一标识位及源端网关与对端网关之间安全操作的第二标识位,所述源端网关包括接收单元,用于接收所述数据;判别单元,用于判别所述数据中的标识位;第一标识位处理单元,用于在所述标识位的第一标识位为非G时,将所述数据中的IPv6地址复制到安全策略库,并返回响应值;第二标识位处理单元,用于在所述第二标识位为0时,复制所述数据,用网关安全策略对应的标识位替换所述数据中的标识位,生成新数据;并将所述数据中的IPv4源地址和目的地址写入本地安全策略库;在所述第二标识位为非G时,复制所述数据,将所述第一标识位置0,生成新数据;将所述数据中的IPv6和IPv4的源地址、目的地址写入本地安全策略库;发送单元,用于发送所述第二标识位处理单元生成的新数据到所述对端网关,并返回响应值。8、根据权利要求6所述的实现6to4隧道因特网安全协议协商的系统,其特征在于,所述对端网关包括接收单元,用于接收所述新数据;判别单元,用于判别所述新数据中的标识位;第一标识位处理单元,用于将所述标识位中的第一标识位设置为默认标识;第二标识位处理单元,用于根据所述新数据中标识位中的的第二标识位找到相应的IPSec模式,将所述新数据中的源地址和目的地址写入所述相应的IPSec^莫式的安全策略库中;发送单元,用于将所述新数据中的源地址和目的地址发送到所述IPv6目的端主纟几,并返回响应值。全文摘要本发明涉及一种实现6to4隧道因特网安全协议协商的方法及系统,通过在发送的数据中设置标识位,根据标识位设置安全策略,实现了6to4隧道的因特网安全协议协商,从而使得6to4隧道能够实现因特网安全协议通信,为6to4隧道通信提供了安全保障。文档编号H04L12/46GK101296151SQ200810113979公开日2008年10月29日申请日期2008年5月30日优先权日2008年5月30日发明者刘利锋申请人:华为技术有限公司