1.一種通信安全防護實現方法，其特征在于，

第一主機與第一網關、第二主機與第二網關分別建立網絡密鑰交換協議安全關聯(IKE?SA)，其中所述第一網關和所述第二網關為兩個獨立的網關或為同一個網關；

所述第一主機與所述第二主機之間建立網絡協議安全性安全關聯(IPsec?SA)，且所述第一主機與所述第二主機間的IPsec?SA的相關信息由網關生成、或者由網關與網關通過密鑰協商派生、或者由網關與主機通過密鑰協商派生。

2.如權利要求1所述的方法，其特征在于，

所述IPsec?SA的相關信息包括：密鑰材料。

3.如權利要求2所述的方法，其特征在于，

所述第一網關與所述第二網關通過迪菲-赫爾曼(Diffie-Hellman)密鑰協商機制協商派生所述第一主機與所述第二主機間的IPsec?SA的密鑰材料，并將所述密鑰材料攜帶在IKE消息中發送給所述第一主機和所述第二主機。

4.如權利要求2所述的方法，其特征在于，

所述第一網關與所述第二主機通過Diffie-Hellman密鑰協商機制協商派生所述第一主機與所述第二主機間的IPsec?SA的密鑰材料，并將所述密鑰材料攜帶在IKE消息中發送給所述第一主機。

5.如權利要求2所述的方法，其特征在于，

所述第一網關生成所述第一主機與所述第二主機間的IPsec?SA的密鑰材料，并將所述密鑰材料攜帶在IKE消息中分別發送所述第一主機和所述第二主機。

6.如權利要求3或5所述的方法，其特征在于，

所述攜帶所述第一主機與所述第二主機間的IPsec?SA的密鑰材料的IKE消息受所述第一主機與所述第一網關、和所述第二主機與所述第二網關之間的IKE?SA保護。

7.如權利要求4所述的方法，其特征在于，

所述攜帶所述第一主機與所述第二主機間的IPsec?SA的密鑰材料的IKE消息受所述第一網關與所述第一主機之間的IKE?SA保護。

8.如權利要求5所述的方法，其特征在于，所述方法還包括：

所述第一網關通過端口鏡像對所述第一主機與所述第二主機之間發送的加密的IP數據包進行拷貝，并根據生成的所述密鑰材料對拷貝的所述加密的IP數據包進行解密。

9.一種通信安全防護實現系統，其特征在于，所述系統包括主機中的IKE?SA建立單元和IPsec?SA建立單元，以及網關中的IKE?SA建立模塊和IPsec?SA建立模塊，

所述IKE?SA建立單元用于，與本接入網絡中的網關建立IKE?SA；

所述IKE?SA建立模塊用于，與本接入網絡中的主機、或者與其他接入網絡中的網關建立IKE?SA；

所述IPsec?SA建立單元用于，與本接入網絡或者其他接入網絡中的其他主機建立IPsec?SA；以及，接收本接入網絡中的網關發送的所述IPsec?SA的相關信息、或者與其他接入網絡中的網關通過密鑰協商派生所述IPsec?SA的相關信息；

所述IPsec?SA建立模塊用于，生成本接入網絡中的主機與其他主機之間的IPsec?SA的相關信息、或者與其他接入網絡中的網關通過密鑰協商派生本接入網絡中的主機與其他主機之間的IPsec?SA的相關信息；并將所述IPsec?SA的相關信息發送給本接入網絡中的主機；

其中，所述IPsec?SA的相關信息包括：密鑰材料。

10.如權利要求9所述的系統，其特征在于，

所述IPsec?SA建立模塊用于，與其他接入網絡中的網關通過Diffie-Hellman密鑰協商機制協商派生所述IPsec?SA的密鑰材料；

所述IPsec?SA建立模塊用于，與其他接入網絡中的網關通過Diffie-Hellman密鑰協商機制協商派生本接入網絡中的主機與其他主機之間的IPsec?SA的密鑰材料，并將所述密鑰材料攜帶在IKE消息中發送給本接入網絡中的主機；或者，將生成的本接入網絡中的主機之間的IPsec?SA的密鑰材料攜帶在IKE消息中發送給本接入網絡中的主機。

11.如權利要求10所述的系統，其特征在于，

所述攜帶所述IPsec?SA的密鑰材料的IKE消息受所述網關與所述主機之間的IKE?SA保護。

12.如權利要求9、10或11所述的系統，其特征在于，所述網關中還包括流量可見模塊，

所述流量可見模塊用于，通過端口鏡像對本接入網絡中的兩個主機之間發送的加密的IP數據包進行拷貝，并根據生成的所述密鑰材料對拷貝的所述加密的IP數據包進行解密；以及，根據與其他接入網絡中的網關協商派生的本接入網絡中的主機與其他接入網絡中的主機之間的IPsec?SA的密鑰材料，對本接入網絡中的主機與所述其他接入網絡中的主機之間發送的加密的IP數據包進行解密。