IPV4/IPV6综合网络系统的安全通信系统和方法

摘要

一种因特网协议版本4/因特网协议版本6(IPv4/IPv6)综合网络系统，包括：至少一个第一节点，用于创建KEY－ID，所述KEY－ID能够标识与至少一个IPv4节点共享的每个秘密密钥，以及用于在安全协商过程中，与每个所述IPv4节点交换所述KEY－ID。每个第二节点创建标识信息，所述标识信息能够标识与每个第一节点共享的每个秘密密钥，以及基于与通过安全协商过程所交换的标识信息相对应的所述秘密密钥，来执行协商过程。从而，在网络地址转换－协议转换(NAT－PT)环境中，可以基于秘密密钥，来实现符合因特网协议安全结构(IPSec)的安全通信。

说明书

技术领域

本发明涉及一种用于因特网协议版本4/因特网协议版本6(IPv4/IPv6)综合网络系统的安全通信系统和方法。

背景技术

因特网占据固定位置用作信息社会的核心基础结构。由于实时服务的高质量开发(如，基于因特网协议的语音(VoIP)和因特网电视(TV))，通过因特网进行交换的业务从包含文本信息的业务演进为包含语音信息、图像信息和视频信息的多媒体业务，以及业务量显示出了爆炸性增长的趋势。

当前建立的基于因特网协议版本4(IPv4)的因特网采用了小片地址信息和复杂的报头结构，以适应快速增长的节点和业务。为此，延时了路由器和节点的业务处理速度，因而整体因特网的性能下降。

提出了因特网协议版本6(IPv6)克服基于IPv4的因特网的这种问题，并具有多个特征，如，128比特的开销地址系统、简化的报头结构、提高的服务质量(QoS)、加强的安全系统等。

然而，由于当前的因特网广泛地基于IPv4网络进行操作，所以不可能在当时使用IPv6网络来替换IPv4网络。因此，IPv4网络将会与IPv6网络共存一段时间，以及将会逐渐地由IPv6网络所替代。

因此，为了成功地建立IPv6网络，IPv6网络的节点和路由器与目前建立的IPv4网络的节点和路由器的共存非常重要。

为了能够操作与IPv6网络连接的节点，以及同与IPv4网络连接的节点进行通信，需要用于在IPv6地址与IPv4地址之间转换的地址转换器。

目前，许多转换技术在作为因特网国际标准化组织的因特网工程任务组(IETF)中进行标准化。在这些技术中，两种技术(网络地址转换-协议转换(NAT-PT)和双协议栈转换机制(DSTM))正在兴起。

关于这点，NAT-PT是IETF中定义为RFC 2766的标准，以及定义了IPv6-IPv4地址转换功能。

NAT-PT服务器位于IPv6网络与IPv4网络之间的边界上，并具有IPv4地址池，在该地址池中收集了要动态分配给IPv6节点的IPv4地址。

NAT-PT服务器执行网络地址转换(NAT)功能和协议转换(PF)功能，其中，网络地址转换(NAT)功能用于在发起会话时，基于IPv4地址池，将IPv4地址分配给IPv6节点。

具体地，NAT-PT服务器使用IP报头转换，用于对从IPv6节点中接收的分组的报头地址信息进行转换。

存在用于处理执行IP通信的两个相对节点之间的认证的模式。在这些模式中，预先共享密钥(PSK)模式将相同的秘密密钥输入两个节点，从而处理两个节点之间的相互认证。

同时，已经开发了因特网协议安全结构(IPSec)来保护IP，并且IPSec提供了诸如机密性、数据完整性、访问控制、数据源认证之类的安全服务。

该IPSec应当预先设置、保持和管理关于执行安全通信的两个节点所需状态(例如，安全关联(SA))的信息。SA信息可以包括密码算法、密钥值等。

开发了因特网密钥交换(IKE)规则，该规则适于在大规模网络中灵活地和自动地设置执行安全通信的每个节点之间的SA。IKE用于执行进行安全通信的两个节点的信号认证，以及设置用于IPSec的SA。

然而，不可能基于PSK模式来执行安全通信，PSK模式对于IPv4/IPv6综合网络上的IPv4节点和IPv6节点之间的相互认证有效。

换言之，为了执行IPv4/IPv6综合网络上的IPv4节点和IPv6节点之间的安全通信，每个节点根据IKE规则来设置相同的标识信息(例如，相同的标识符(ID))和共享密钥。

关于这点，IKE规则在ID主模式的情况下，利用节点的IP地址作为ID；以及在ID攻击性模式的情况下，利用电子邮件地址等作为ID。

然而，由于IPv4/IPv6综合网络中的IPv4节点的NAT-PT服务器动态地将IPv4地址分配给IPv6节点，所以IPv4节点不会知道关于分配给IPv6节点的IPv4地址的信息。因此，在IPv4/IPv6综合网络中，不可能基于PSK模式来执行安全通信。

即，在IPv4/IPv6综合网络中，不通过IKE规则的ID主模式来支持安全通信，以及不可能基于根据PSK模式的共享秘密密钥，来执行符合IKE规则的安全通信。

发明内容

本发明的目的是提供一种用于因特网协议版本4/因特网协议版本6(IPv4/IPv6)综合网络系统的安全通信系统和方法，以在将IPv4网络和IPv6网络混合的综合网络中实现基于预先共享密钥(PSK)模式的符合IPSec的安全通信。

根据本发明的一方面，IPv4/IPv6综合网络系统具有包含于不同网络中的至少一个节点。IPv4/IPv6综合网络包括：至少一个第一节点，用于创建KEY-ID，该KEY-ID能够标识与至少一个IPv4节点共享的每个秘密密钥，以及用于在安全协商过程中，与每个IPv4节点交换KEY-ID；以及第二节点，用于创建KEY-ID，该KEY-ID能够标识与每个IPv6节点共享的每个秘密密钥，以及基于与所交换的KEY-ID相对应的秘密密钥来执行协商过程。

关于这点，优选地，每个KEY-ID具有低32比特值，这是通过散列函数处理共享秘密密钥的值所获得的结果。

优选地，每个节点构造因特网密钥交换(IKE)有效载荷，在该IKE有效载荷中，包括IKE报头(HDR)、安全关联(SA)信息和KEY-ID。

此外，优选地，每个节点设置有效载荷值，该有效载荷值指示用于下一有效载荷字段的、保留的下一有效载荷值中的KEY-ID；以及通过在其中为下一有效载荷字段设置KEY-ID的因特网密钥交换(IKE)，来传输KEY-ID。

此外，每个节点可以是包含于IPv6网络中的IPv6节点和包含于IPv4网络中的IPv4节点中的任一节点。

优选地，IPv4/IPv6综合网络还包括网络地址转换-协议转换(NAT-PT)服务器，该服务器具有能够将IPv4地址分配给包含于IPv6网络中的每个第一节点的地址池，基于分配给第一节点的IPv4地址来管理地址表，以及基于地址表来执行IPv6分组与IPv4分组之间的相互转换。

此外，优选地，每个节点基于在安全协商过程中选择的秘密密钥值、以及在加密密钥共享过程中共享的密钥交换值和随机数(Ni和Nr)，来创建加密密钥，以及当完成了基于密钥交换的认证过程时，每个节点基于加密密钥来加密数据，以执行安全通信。

根据本发明的另一方面，优选地，IPv4/IPv6综合网络系统具有包含于不同网络中的至少一个节点。IPv4/IPv6综合网络系统包括：至少一个IPv4节点，用于创建标识信息，该标识信息能够标识与至少一个第二节点共享的每个秘密密钥，以及用于基于因特网密钥交换(IKE)，在安全协商过程中，与每个第二节点交换标识信息；以及IPv6节点，用于创建标识信息，该标识信息能够标识与每个第一节点共享的每个秘密密钥，以及用于使用与通过安全协商过程交换的标识信息相对应的秘密密钥，来执行安全协商过程。

根据本发明的另一方面，IPv4/IPv6综合网络系统的安全通信方法包括以下步骤：通过包含于不同种类的因特网协议(IP)网络中的至少一个节点，来共享秘密密钥的值；通过每个节点，来创建能够标识共享秘密密钥值的KEY-ID；以及通过每个节点，来交换执行安全协商过程的KEY-ID。

在该方面中，优选地，创建KEY-ID的步骤包括将低32比特值设置为KEY-ID的步骤，该低32比特值是通过散列函数处理秘密密钥值而获得的结果值。

优选地，执行安全协商过程的步骤包括以下步骤：由第一节点将包含因特网密钥交换(IKE)有效载荷的第一分组传输至第二节点，其中，在该IKE有效载荷中包含IKE报头(HDR)、安全关联(SA)信息和KEY-ID；以及由第二节点将包含IKE有效载荷的第二分组传输至第一节点，其中，在该IKE有效载荷中包含IKE HDR、SA信息和KEY-ID。

优选地，安全通信方法还包括以下步骤：将IPv4地址动态地分配给第一节点，以及执行第一分组与第二分组之间的相互转换。

此外，优选地，IKE有效载荷具有值，定义为：为下一有效载荷字段设置的、保留的下一有效载荷值中的KEY-ID值，以及IKE有效载荷包括为之设置KEY-ID的标识有效载荷。

每个节点或者是包含于IPv6网络中的IPv6节点、或者是包含于IPv4网络中的IPv4节点。

此外，优选地，安全通信方法还包括以下步骤：基于在安全协商过程中选择的秘密密钥值、以及在加密密钥共享过程中共享的密钥交换和随机数(Ni和Nr)，来创建加密密钥；以及当完成了基于加密密钥的密钥交换的认证过程时，基于加密密钥来加密数据，以执行安全通信。

根据本发明的另一方面，IPv4/IPv6综合网络系统的安全通信方法包括以下步骤：由至少一个IPv6节点和IPv4节点来共享秘密密钥值；由每个节点来创建能够标识每个秘密密钥的标识信息；在安全协商过程中，IPv6节点和IPv4节点中的每个基于因特网密钥交换(IKE)来交换标识信息；以及IPv6节点和IPv4节点中的每个基于与标识信息相对应的秘密密钥，来执行安全协商过程。

关于这点，优选地，安全通信方法还包括以下步骤：基于在安全协商过程中选择的秘密密钥值、以及在加密密钥共享过程中共享的密钥交换和随机数(Ni和Nr)，来创建加密密钥；以及当完成了基于加密密钥的密钥交换的认证过程时，基于加密密钥来加密数据，以执行安全通信。

附图说明

随着结合附图参照以下的详细描述的更好地理解，对本发明更加完全的理解和许多附加优点将变得显而易见，在附图中，相似的参考符号标识相同或相似的组件，其中：

图1是根据本发明示例性实施例的因特网协议版本4/因特网协议版本6(IPv4/IPv6)综合网络的结构框图；

图2示出了为普通IPv4节点设置的预先共享密钥(PSK)；

图3示出了为普通IPv6节点设置的PSK；

图4示出了根据本发明示例性实施例的为每个IPv6节点设置的PSK；

图5示出了根据本发明示例性实施例的为每个IPv4节点设置的PSK；

图6示出了根据本发明示例性实施例的KEY-ID的创建；

图7是示出了根据本发明示例性实施例的IPv4/IPv6综合网络系统的安全通信方法的信号流图；

图8示出了根据本发明的报头格式(HDR)；

图9示出了根据本发明的有效载荷类型的格式；

图10示出了根据本发明的KEY-ID有效载荷；以及

图11是根据本发明示例性实施例的IPv4/IPv6综合网络系统的安全通信方法的流程图。

具体实施方式

以下，将参照附图对因特网协议版本4/因特网协议版本6(IPv4/IPv6)综合网络系统的安全通信系统和方法进行详细描述。

图1是根据本发明示例性实施例的IPv4/IPv6综合网络的结构框图。

参照图1，通过网络地址转换-协议转换(NAT-PT)服务器200来连接包含于IPv6网络中的多个IPv6节点100和包含于IPv4网络中的IPv4节点300。

NAT-PT服务器200位于IPv4网络与IPv6网络之间的边界上，并基于IPv4地址池(未示出)，来动态地将IPv4地址分配给IPv6节点100，在IPv4地址池中，在发起会话时收集要动态分配给IPv6节点100的IPv4地址。

以下将描述基于在IPv6节点100与IPv4节点300中的每一个之间的预先共享密钥(PSK)模式，来执行符合因特网密钥交换(IKE)的安全通信的情况。

此外，以下将通过示例来描述IPv4节点300与多个IPv6节点100共享秘密密钥的情况，但是，该示例可以同样应用于IPv6节点100中的任何一个与多个IPv4节点300共享秘密密钥的情况。

图2示出了为普通IPv4节点设置的PSK。

如图2所示，每个PSK包含标识符(ID)和秘密密钥。每个秘密密钥的ID是关于IP地址的信息。“202.70.2.50”是NAT-PT服务器200动态地分配给IPv6节点100-1、100-2或100-3的IPv4地址，以及“220.70.2.100”是IPv4节点300的IPv4地址。与每个标识符匹配的秘密密钥是“1234”。

图3示出了为普通IPv6节点设置的PSK。

如图3所示，每个秘密密钥的ID是关于IP地址的信息。“2001::1”是第一IPv6节点100的IPv6地址，以及“3ffe:2e00:e:fff9::220.70.2.100”是通过将IPv4节点300的IP地址“220.70.2.100”添加到NAT-PT服务器200的前缀地址“3ffe:2e00:e:fff9”的后端来创建的地址。与每个标识符匹配的秘密密钥是“1234”。

如图2和3中所描述的，可以发现，每个节点共享相同的秘密密钥，以及标识每个秘密密钥的ID使用每个节点的IP地址。

然而，IP地址不能用作标识IPv4节点300的秘密密钥的ID，其中，该IPv4节点300在IPv4/IPv6综合网络中执行与IPv6节点100的安全通信。具体地，由于NAT-PT服务器200对任意分配给IPv6节点100的IPv4地址(220.70.2.50)进行动态地分配，所以IPv4节点300不能依据IPv6节点100的IP地址来标识秘密密钥。结果，IPv4节点300不能执行安全通信。

因此，IPv4节点300和IPv6节点100各自创建除了基于共享秘密密钥的IP地址信息之外的ID(此后，称为“KEY-ID)，并基于秘密密钥执行符合IKE规则的安全通信。

图4示出了根据本发明示例性实施例的为每个IPv6节点设置的PSK。

如图4所示，每个IPv6节点100-1、100-2或100-3基于PSK的秘密密钥来创建KEY-ID。

例如，第一IPv6节点100-1的KEY-ID是“12345678”，以及它的匹配秘密密钥是“1111”。第二IPv6节点100-2的KEY-ID是“87654321”，以及它的匹配秘密密钥是“2222”。第三IPv6节点100-3的KEY-ID是“12341234”，以及它的匹配秘密密钥是“3333”。

图5示出了根据本发明示例性实施例的为每个IPv4节点设置的PSK；

如图5所示，IPv4节点300创建KEY-ID，该KEY-ID能够基于与每个IPv6节点100共享的每个秘密密钥来标识每个秘密密钥；以及存储和管理KEY-ID和与KEY-ID匹配的秘密密钥。

例如，IPv4节点300具有与第一秘密密钥“1111”匹配的第一KEY-ID“12345678”，与第二秘密密钥“2222”匹配的第二KEY-ID“87654321”，以及与第三秘密密钥“3333”匹配的第三KEY-ID“12341234”。

以这种方式，每个IPv6节点100和IPv4节点300可以将低32比特值设置为KEY-ID，该低32比特值是通过在安全散列标准中规定的散列函数来处理秘密密钥的密钥值而获得的结果值。

图6示出了根据本发明示例性实施例的KEY-ID的创建。

如图6所示，每个IPv6节点100和IPv4节点300可以将低32比特值设置为相应的秘密密钥的KEY-ID，该低32比特值是通过散列函数来处理每个共享PSK的秘密密钥的密钥值而获得的结果值。

在不传输现有的IP地址的情况下，每个IPv6节点100和IPv4节点300交换KEY-ID，从而根据IKE规则，使用秘密密钥的ID来执行安全通信。

在图4和5中，作为示例，由十进制来表示KEY-ID，但是可以由任何其它数制(如，二进制、十六进制等)来表示KEY-ID。

图7是示出了根据本发明示例性实施例的IPv4/IPv6综合网络系统的安全通信方法的信号流图。

参照图7，每个IPv6节点100-x和IPv4节点300创建了如图4和5描述的、能够标识共享PSK的秘密密钥的KEY-ID。

每个IPv6节点100-x和IPv4节点300基于IPSec开始安全通信。通常，安全通信过程包括安全协商过程S110、加密密钥共享过程S120、认证过程S130、以及安全通信执行过程S140。

安全协商过程S110的数据流如下。

每个IPv6节点100-x构造IKE有效载荷(包括IKE报头(以下，简写为“HDR”)、SA信息(例如，加密算法)、以及为了IKE协商的KEY-ID)，创建包含IKE有效载荷的IPv6分组，以及将IPv6分组传输至NAT-PT服务器200(S111)。

图8示出了根据本发明的HDR格式。如图8所示，HDR包括：“IKE SA发起者的SPI”字段，该字段具有由发起者选择以标识SA信息的值；“IKE SA响应者的SPI”字段，该字段具有由响应者选择以响应SA信息的值；“下一有效载荷”字段，用于指示紧邻HDR的有效载荷类型；“MjVer”和“MnVer”字段，用于指示所使用的协议版本；“交换类型”字段，用于指示消息交换类型；“标记”字段，用于指示为消息选择的选项；“消息ID”字段，用于控制数据的重新传输，并匹配请求和响应；以及“长度”字段，用于指示HDR之后的有效载荷消息的总长度。

图9示出了根据本发明的有效载荷类型的格式。

如图9所示，可以将未在有效载荷类型中定义的(即，为私人使用保留的)有效载荷类型值中的任何一个定义为用于KEY-ID的有效载荷类型值。

图10示出了根据本发明的KEY-ID有效载荷。

如图10所示，每个IPv6节点100-x或IPv4节点300设置了定义于“下一有效载荷”字段中的KEY-ID的有效载荷类型值，每个IPv6节点100-x或IPv4节点300在“下一有效载荷”字段中包括能够标识秘密密钥的KEY-ID，然后将“下一有效载荷”字段与HDR的后端连接，从而创建IKE有效载荷，如图8所示。

NAT-PT服务器200依据基于IPv4地址池，分配给每个IPv6节点100-x的IPv4地址，将IPv6分组转换为IPv4分组。此时，NAT-PT服务器200使用映射表来管理分配给IPv6节点100的IPv4地址。

NAT-PT服务器200将所转换的IPv4分组传输至IPv4节点300(图7的S112)。

具体地，将HDR、SA信息和KEY-ID从IPv6节点100-x传输至IPv4节点300。对此，在SA信息的情况下，可以以列表类型来传输多条SA信息。

当从NAT-PT服务器200中接收IPv4分组(其中，包括具有HDR、SA信息和KEY-ID的IKE有效载荷)时，IPv4节点300根据包含于IKE有效载荷中的KEY-ID来选择秘密密钥。

为了与IPv6节点100-x进行IKE协商，Pv4节点300创建IPv4分组(其中，包括具有HDR、SA信息、以及能够标识所选PSK的秘密密钥的KEY-ID的IKE有效载荷)，以及将所创建的IPv4分组传输至NAT-PT服务器200(S113)。

NAT-PT服务器200基于映射表，将IPv4分组转换为IPv6分组，以及将所转换的IPv6分组传输至IPv6节点100(S114)。

具体地，将HDR、SA信息和KEY-ID从IPv4节点300传输至IPv6节点100-x。此时，在SA信息的情况下，对由IPv4节点300从自IPv6节点100-x传输的多条SA信息中选择的SA信息进行传输。

因此，在安全协商过程S110中，IPv6节点100-x和IPv4节点300可以通过KEY-ID来确认共享PSK的秘密密钥，因而基于SA信息和秘密密钥来处理安全协商。

接下来，以下是在加密密钥共享过程S120中传输数据的步骤。

IPv6节点100-x创建包含IKE有效载荷的IPv6分组，以及将IPv6分组传输至NAT-PT服务器200(S121)，其中，在IKE有效载荷中，包含HDR、密钥交换(KE)和临时随机数Ni的值。

NAT-PT服务器200基于向映射表登记的IPv6节点100-x的IPv4地址，将IPv6分组转换为IPv4分组，以及将所转换的IPv4地址传输至IPv4节点300(S122)。

同时，当从NAT-PT服务器200中接收了包含HDR、KE和Ni值的IKE有效载荷时，IPv4节点300检测IPv6节点100-x的KE和Ni值。

IPv4节点300创建包含IKE有效载荷(包含HDR、KE和随机数Nr的值)的IPv4分组，以及将IPv4分组传输至NAT-PT服务器200(S123)。

NAT-PT服务器200基于映射表，将IPv4分组转换为IPv6分组，以及将IPv6分组传输至IPv6节点100-x(S124)。

换言之，每个IPv6节点100-x和IPv4节点300使用秘密密钥、所选SA信息、KE值和随机数值Ni和Nr(以上所有均通过加密密钥共享过程S120进行共享)，来创建加密数据的加密密钥。

以下是在认证过程S130中传输数据的步骤。

IPv6节点100-x创建地址信息、IDii和认证信息[CRET，]SIG_I，以及包含加密IDii、[CRET，]SIG_I和HDR的IKE有效载荷的IPv6分组，并将IPv6分组传输至NAT-PT服务器200(S131)。

NAT-PT服务器200基于映射表，将IPv6分组转换为IPv4分组，以及将IPv4分组传输至IPv4节点300(S132)。

同时，IPv4节点300基于IDii和[CRET，]SIG_I等，对IPv6节点100进行认证，其中，IDii和[CRET，]SIG_I包含于所接收的IPv4分组的IKE有效载荷中。

当对IPv6节点100-x进行了认证时，IPv4节点300创建地址信息IDir和认证信息[CRET，]SIG_R(其中，反映了IDir)、以及包含IKE有效载荷(用于使用密钥信息KE来加密IDir、[CRET，]SIG_R和HDR)的IPv4分组，并将IPv4分组传输至NAT-PT服务器200(S133)。

NAT-PT服务器200基于映射表，将IPv4分组转换为IPv6分组，以及将IPv6分组传输至IPv6节点100-x(S134)。

IPv6节点100-x基于包含于IPv6分组中的IDir和[CRET，]SIG_R，对IPv4节点300进行认证。

当在IPv6节点100-x与IPv4节点300之间完成了相互认证时，在IPv6节点100-x与IPv4节点300之间，使用通过加密密钥共享过程S120共享的加密密钥，来执行基于IPSec的安全通信(S140)。

图11是根据本发明示例性实施例的IPv4/IPv6综合网络系统的安全通信方法的流程图。

参照图11，包含于IPv4网络中的IPv4节点300和包含于IPv6网络中的多个IPv6节点100共享秘密密钥(S200)。

每个IPv6节点100-x和IPv4节点300创建KEY-ID，该KEY-ID能够基于共享秘密密钥来标识每个秘密密钥(S210)。

每个IPv6节点100-x和IPv4节点300可以将低32比特值设置为相应秘密密钥的KEY-ID，其中，低32比特值是通过安全散列标准中规定的散列功能来处理每个共享PSK的秘密密钥的密钥值而获得的结果值。

每个IPv6节点100-x和IPv4节点300交换IKE有效载荷(每个IKE有效载荷包括HDR、SA信息和KEY-ID)，从而执行安全通信(S220)。

每个IPv6节点100-x和IPv4节点300选择与所交换的KEY-ID匹配的秘密密钥(S230)。

每个IPv6节点100-x和IPv4节点300交换IKE有效载荷(每个IKE有效载荷包括HDR、KE和临时随机数Ni)，以及使用秘密密钥、SA信息、KE和随机数值Ni和Nr(所有均共享)来共享加密数据的加密密钥(S240)。

每个IPv6节点100-x创建地址信息、IDii和认证信息[CRET，]SIG_I，以及包含加密IDii、[CRET，]SIG_I和HDR的IKE有效载荷的IPv6分组，并将IPv6分组传输至NAT-PT服务器200。

IPv4节点300基于IDii、[CRET,]SIG_I(均包含于所接收的IKE有效载荷中)等，对每个IPv6节点100进行认证，以及通过NAT-PT服务器200，将包含IKE有效载荷的IPv4分组传输至每个IPv6节点100-x，其中，IKE有效载荷对地址信息IDir和认证信息[CRET，]SIG_R(其中，反映了IDir)和使用密钥信息KE的HDR进行加密。

每个IPv6节点100-x使用包含于IPv6分组中的IDir和[CRET，]SIG_R，对IPv4节点300进行认证(S250)。

当在每个IPv6节点100-x与IPv4节点300之间完成了相互认证时，在每个IPv6节点100-x与IPv4节点300之间，使用通过加密密钥共享过程S120共享的加密密钥，来执行基于IPSec的安全通信(S260)。

关于这点，NAT-PT服务器200基于分配给IPv6节点100的IPv4地址来管理映射表，以及将IPv6分组转换为IPv4分组，反之亦然，其中，基于IPv4地址池，将IPv4地址分配给IPv6节点。

如上所述，根据本发明，将能够标识秘密密钥的ID信息用作IPv4网络和IPv6网络的综合网络中的IP地址信息，以及甚至在通过NAT-PT服务器转换分组时，IPv4节点和IPv6节点也可以标识秘密密钥。结果，可以基于秘密密钥模式，在IPv4/IPv6综合网络中实现基于IPSec的安全通信。

尽管已经参照附图对本发明进行了描述，但是本领域技术人员应当理解，可以在由所附权利要求中限定的本发明的精神和范围内，提供多种其它修改和改变。