技術領域

本發明涉及網絡通信技術，尤其涉及一種實現6to4隧道因特網安全協議協商的方法及系統。?

背景技術

隨著網絡規模的飛速擴大，因特網協議版本4(Internet?Protocolversion?4，IPv4)由于地址空間太少、安全性低等因素，已經不能夠滿足當今和未來網絡發展的需求。隨著網絡技術的迅速發展，出現了因特網協議版本6(Internet?Protocol?version?6，IPv6)，IPv6作為IPv4的升級版本，提供了巨大的地址空間，大大豐富了地址資源。但是，鑒于IPv4屬于相當成熟的技術，應用普及廣泛，且IPv6技術及相關設備不完備，IPv6網絡不可能立刻完全取代IPv4網絡，還需要很長一段時間與IPv4網絡共存，實現IPv4網絡向IPv6網絡的過渡。?

IPv6網絡與IPv4網絡共存階段，使二者實現互通的技術有：雙棧技術、網絡地址轉換-協議轉換(NAT-PT)技術和隧道技術。6to4隧道技術屬于隧道技術中的一種，用于實現分布在IPv4“海洋”中的IPv6“小島”之間的通信。?

6to4隧道技術通常在站點的邊界路由器之間建立隧道，源站點的邊界路由器是隧道的首節點，目的站點的邊界路由器是尾節點。該隧道技術定義了一種特殊的IPv6地址-6to4地址，該地址的前綴中蘊含了邊界路由器的IPv4地址。當兩站點中任意兩臺主機通信時，隧道首節點自動從IPv6源和目的地址中提取出隧道首尾節點的IPv4地址，在兩站點的邊界路由器之間建立一條IPv4隧道，上述任意兩臺主機通過該IPv4隧道傳輸數據，實現通信。隧道不需要維護任何信息，在通信開始時建立，通信結束時自動撤銷。站點的?邊界路由器充當隧道的端點，實現雙棧、6to4隧道功能，并且至少有一個全球唯一的可路由的IPv4地址。?

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：6to4隧道技術解決的是通信問題，不能防止篡改、地址偽造，也不能提供認證和加密功能，導致通信過程中存在安全問題，不能為日益發展的IPv6網絡提供安全保障。?

發明內容

本發明實施例提出一種實現6to4隧道因特網安全協議協商的方法及系統，以保證6to4隧道通信的安全。?

本發明實施例提供了一種實現6to4隧道因特網安全協議協商的方法，包括：?

IPv6源端主機設置分別用于指示IPv6源端主機與源端網關及源端網關與對端網關之間安全操作的標識位，向所述源端網關發送數據，所述數據包含所述標識位、通信源地址及目的地址，并根據所述標識位執行相應操作；?

所述源端網關接收所述數據，根據所述標識位執行相應操作，產生新數據，發送給對端網關，并建立相應的安全策略；?

所述對端網關根據所述新數據中的標識位執行相應操作，建立相應的安全策略，返回響應值，并將所述新的數據發送給IPv6目的端主機；?

所述IPv6目的端主機將所述對端網關地址寫入所述新數據中標識位對應的安全策略庫，返回目的端主機響應值；?

所述對端網關向所述源端網關發送所述目的端主機響應值以及所述對端網關的通信結束標識符；?

所述源端網關向所述IPv6源端主機發送源端網關的通信結束標識符、所述目的端主機響應值以及所述對端網關的通信結束標識符；?

所述IPv6源端主機確認所述源端網關與對端網關的通信結束標識符。?

本發明實施例還提供了一種實現6to4隧道因特網安全協議協商的系統，包括：?

IPv6源端主機，用于設置指示IPv6源端主機與源端網關及源端網關與對端網關之間安全操作的標識位，發送包含所述標識位、通信源地址及目的地址的數據，確認所述源端網關與對端網關的通信結束標識符；?

源端網關，用于接收所述數據，根據所述標識位執行相應操作，產生新數據，發送給對端網關，并建立相應的安全策略；向所述IPv6源端主機發送源端網關的通信結束標識符、所述目的端主機響應值以及所述對端網關的通信結束標識符；?

對端網關，用于根據所述新數據中的標識位執行相應操作，建立相應的安全策略，返回響應值，并將所述新數據發送給IPv6目的端主機；向所述源端網關發送所述目的端主機響應值以及所述對端網關的通信結束標識符；?

IPv6目的端主機，用于將所述新數據中的地址寫入所述新數據中標識位對應的安全策略庫，返回目的端主機響應值。?