WO2010000171A1

WO2010000171A1 - 一种通信的建立方法、系统和装置

Info

Publication number: WO2010000171A1
Application number: PCT/CN2009/072156
Authority: WO
Inventors: 刘利锋; 张东
Original assignee: Huawei Symantec Technologies Co Ltd
Current assignee: Huawei Digital Technologies Chengdu Co Ltd
Priority date: 2008-06-30
Filing date: 2009-06-05
Publication date: 2010-01-07
Anticipated expiration: 2010-12-30
Also published as: US8880891B2; US20110093716A1; EP2285041A1; EP2285041B1; EP2285041A4; CN101299668A

Description

说明书一种通信的建立方法、系统和装置

本申请要求于 2008年 06月 30日提交中国专利局、申倚号为 200810129174.2、发明名称为"一种通信的建立方法、系统和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及通信技术领域，特别涉及一种通信的建立方法、系统和装置。背景技术

在 IP ( Internet Protocol , 因特网协议）地址、子网段和自动系统中，部分容许 IP地址欺骗。因此，大部分的互联网都很容易遇到 IP地址欺骗的问题，而且持续频发的这种 IP地址欺骗可能成为一个非常严重的问题。例如：

a )伪装源地址的能力会衍生出某种类型的网络攻击，比如回应攻击，中间人攻击；

b ) 伪装以后的源地址可以实现某些其他形式的攻击，比如 DDOS ( Distribute Denial of Service , 分布式拒绝服务攻击）攻击，而且非常难以被发觉；

c ) 允许伪装的源地址进入网络将无法通过查看源地址来得知 IP数据包的来源。

现有技术中的 URPF ( Unicast Reverse Path Forwarding , 单播反向路径转发 ) 方法可以很好地解决 IP地址欺骗的问题。 URPF设定了以下数据包转发机制，当路由器接收到一个数据包时，该路由器检查路由表，确定返回数据包的源 IP地址的路由是否从接收到该数据包的接口出去，如果是，则正常转发该数据包，否则，就会丟弃该数据包。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：采用 URPF在网络边界阻断伪造源地址 IP的攻击，对于当前的 DDoS攻击，并不能奏效，其根本原因就在于 URPF的基本原理是路由器判断出口流量的源地址，如果该出口流量的源地址不属于内部子网的地址，则阻断出口流量。但是攻击者完全可以伪造其所在子网的 IP地址进行 DDoS攻击，这样就完全可以绕过 URPF的防护策略。因此，现有技术仍然会使带有虚假源地址的数据包通过。发明内容

本发明实施例提供一种通信的建立方法、系统和装置，以实现通过 CGA 参数和 CGA签名，验证地址的真实性，防止 IP地址欺骗。

本发明实施例一方面提供一种通信的建立方法，用于建立至少两个通信方之间的通信，包括第第一通信方和第二通信方，包括：

发送加密生成地址 CGA请求至所述第一通信方；

接收所述第一通信方回复的 CGA参数和 CGA签名；

对所述 CGA参数和 CGA签名进行验证，在验证成功之后，与所述第一通信方建立通信。

另一方面，本发明实施例还提供一种通信的建立系统，包括：

第一通信方，用于接收加密生成地址 CGA请求，并回复 CGA参数和 CGA 签名；

第二通信方，用于发送所述 CGA请求至所述第一通信方，接收所述第一通信方回复的 CGA参数和 CGA签名，并对所述 CGA参数和 CGA签名进行验证，在验证成功之后，与所述第一通信方建立通信。

再一方面，本发明实施例还提供一种通信设备，包括：

发送模块，用于发送加密生成地址 CGA请求至另一通信设备；接收模块，用于接收所述另一通信设备回复的 CGA参数和 CGA签名；验证模块，用于对所述接收模块接收的 CGA参数和 CGA签名进行验证；通信建立模块，用于在所述验证模块验证成功之后，与所述第一通信方建立通信。再一方面，本发明实施例还提供一种传输帧格式，所述传输帧格式包括加密生成地址 CGA请求数据，用于在两个通信方采用通信的建立方法建立通信的过程中，在两个通信方之间传输 CGA请求，所述传输帧格式包括类型字段和预留域字段。

与现有技术相比，本发明实施例具有以下优点：通过本发明实施例，在建立通信的过程中，通信方通过验证 CGA扩展头所包括的 CGA参数和 CGA 签名，确定 CGA的真实性，有效防止了 IP地址欺骗，防止或减轻了由于 IP 地址欺骗引起的一些网络安全问题。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例通信的建立方法的流程图；

图 2为本发明通信的建立方法实施例一的流程图；

图 3为本发明通信的建立方法实施例二的流程图；

图 4为本发明通信的建立方法实施例三的流程图；

图 5为本发明实施例提供的一种传输帧格式的示意图；

图 6为本发明实施例提供的另一种传输帧格式的示意图；

图 Ί为本发明实施例提供的再一种传输帧格式的示意图；

图 8为本发明实施例通信的建立系统的一种结构图；

图 9为本发明实施例通信的建立系统的另一种结构图；

图 10为本发明实施例通信设备的一种结构图；

图 11为本发明实施例通信设备的另一种结构图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种通信的建立方法，解决了 IP地址伪造、仿冒等 IP 地址欺问题，解决或者减轻了由于 IP地址欺骗引起的一系列网络安全问题。

本发明实施例在 IPv6 ( Internet Protocol version 6 , 因特网协议版本 6 )扩展头中增力口 CGA ( Cryptographically Generated Addresses , 力口密生成地址 )扩展头，该 CGA扩展头包括 CGA Request ( CGA请求）、 CGAParams ( CGA参数）、 CGA Sig ( CGA签名）。

如图 1所示，为本发明实施例通信的建立方法的流程图，具体包括：

5101 , 发送 CGA请求至第一通信方。具体可以为：

第二通信方接收第一通信方发送的会话请求 , 并对该会话请求进行检查，当该会话请求中的 IPv6扩展头不包括 CGA扩展头，或者该会话请求包括内容为空的 CGA扩展头时，第二通信方发送 CGA请求至第一通信方。

5102 , 接收第一通信方回复的 CGA参数和 CGA签名。

在接收到第二通信方发送的 CGA请求之后，第一通信方向第二通信方回复 CGA参数和 CGA签名。本发明实施例在 IPv6扩展头中增加 CGA扩展头，第一通信方回复的 CGA参数和 CGA签名携带在 IPv6扩展头的 CGA扩展头中。

5103 , 对 CGA参数和 CGA签名进行验证，在验证成功之后，与第一通信方建立通信。

另外，在第二通信方接收第一通信方回复的 CGA参数和 CGA签名的同时，该第二通信方还可以接收第一通信方发送的 CGA请求，在验证第一通信方回复的 CGA参数和 CGA签名成功之后，第二通信方向第一通信方回复该第二通信方的 CGA 参数和 CGA签名。在第一通信方验证该第二通信方的 CGA参数和 CGA签名成功之后，第二通信方与第一通信方建立通信。这时，第一通信方和第二通信方相互验证了对方 CGA的真实性。

上述通信的建立方法，在建立通信的过程中，通信方通过验证 CGA扩展头所包括的 CGA参数和 CGA签名，确定 CGA的真实性，有效防止了 IP地址欺骗，防止或减轻了由于 IP地址欺骗引起的一些网络安全问题。

如图 2 所示，为本发明通信的建立方法实施例一的流程图，在实施例一中，第一通信方为应答方，第二通信方为发起方。具体包括：

5201 , 发起方向应答方发送 CGA请求。

5202, 应答方收到 CGA请求后，向发起方回复 CGA参数、 CGA签名。

5203 , 发起方验证 CGA参数及 CGA签名，在验证成功之后，开始后续通信。如果验证失败，则停止通信过程。

上述通信的建立方法，发起方向应答方发送 CGA请求，在接收到应答方回复的 CGA参数及 CGA签名之后，发起方验证 CGA参数及 CGA的签名，确定应答方 CGA的真实性，从而防止了 IP地址欺骗，防止或减轻了由于 IP 地址欺骗引起的一些网络安全问题。

如图 3所示，为本发明通信的建立方法实施例二的流程图，实施例二中，第一通信方为发起方，第二通信方为应答方。具体包括：

5301 , 发起方发起会话请求。

5302, 应答方收到会话请求后，检查 IP扩展头中是否有 CGA扩展头，如果有，则进一步判断该 CGA扩展头的内容是否为空，当该 CGA扩展头的内容不为空时，执行 S304; 如果 IP扩展头中没有 CGA扩展头，或者会话请求中的 CGA扩展头的内容为空时，应答方发送 CGA请求至发起方。

5303 , 发起方接收 CGA请求，如果发起方支持 CGA扩展，则回复 CGA 参数、 CGA签名；如果发起方不支持 CGA扩展，则该发起方丢弃该 CGA 请求。

5304, 应答方收到发送方回复的 CGA参数、 CGA签名后，验证该 CGA 参数及 CGA签名，在验证成功之后，开始后续通信。如果验证失败，则应答方丢弃发送方回复的 CGA参数和 CGA签名。

上述通信的建立方法，在应答方收到发起方的会话请求之后，应答方向发起方发送 CGA请求，并验证发起方回复的 CGA参数及 CGA签名，确定发起方 CGA的真实性，从而防止了 IP地址欺，防止或减轻了由于 IP地址欺骗引起的一些网络安全问题。

如图 4所示，为本发明通信的建立方法实施例三的流程图，实施例三中，第一通信方为发起方，第二通信方为应答方。具体包括： S401，发起方发起会话请求，该会话请求包括内容为空的 CGA扩展头。 S402, 应答方收到会话请求后，发送 CGA请求至发起方。

S403，发起方收到 CGA请求后，向应答方回复 CGA参数、 CGA签名，并向应答方发送 CGA请求。

5404 , 应答方收到发起方发送的 CGA请求后，应答方先验证发起方回复的 CGA参数及 CGA签名，在验证成功之后，应答方向发起方回复该应答方的 CGA参数及 CGA签名；如果验证失败，则应答方丢弃发起方发送的 CGA 参数、 CGA签名和 CGA请求。

5405 , 发起方收到应答方回复的 CGA参数， CGA签名后，验证 CGA参数及 CGA签名，在验证成功之后，开始后续通信。如果验证失败，则发起方丢弃该 CGA参数， CGA签名。

上述通信的建立方法，在应答方收到发起方的会话请求之后，应答方向发起方发送 CGA请求，并验证发起方回复的 CGA参数及 CGA签名，同时发起方也向应答方发送 CGA请求，验证应答方回复的 CGA参数及 CGA签名，发起方和应答方相互确定对方 CGA的真实性，从而防止了 IP地址欺骗，防止或减轻了由于 IP地址欺骗引起的一些网络安全问题。

本发明实施例通过增加 CGA扩展头，在建立通信的过程中，要求通信方在消息中添加包括 CGA参数和 CGA签名的扩展头，用于验证 CGA的真实性，防止 IP地址欺编，防止或减轻由于 IP地址欺骗引起的一些网络安全问题。

以 TCP ( Transmission Control Protocol , 传输控制协议 ) -SYN ( Synchronization, 同步 )洪水攻击为例，攻击者通过僵尸网络发起大量虚支地址的 SYN请求。

应用本发明实施例，服务器收到 SYN请求后，不会立即回应 SYN-ACK ( Acknowledgement, 确认）并建立半连接状态，而是先检查 SYN请求里面有没有 CGA扩展头。 1 )如果 SYN请求没有 CGA扩展头，服务器发送 CGA 请求且不需要为该 SYN请求建立状态信息，由于 SYN请求中的源地址为虚假地址，所以服务器不会再收到回应； 2 )如果 SYN请求中带有 CGA扩展头，服务器会先验证 CGA的有效性，如果 SYN请求中的源地址为虚假地址，服务器只需做简单的哈希运算，即可判断该 SYN请求是非法的，丢弃该 SYN 请求即可。应用本发明实施例，虽然服务器仍需要为虚假地址的 SYN请求耗费一些资源，但相对于回应 SYN-ACK 并建立半连接状态，资源消耗很小，并且不需要为虚假地址的请求保持半连接状态，很大程度上解决了 TCP-SYN 洪水攻击问题。

以中间人攻击为例：

"中间人" （主机 C, 攻击者）处于通信发起方（主机 A ) 与应答方（主机 B )之间，同时冒充发起方和应答方的地址，分别与主机 A、主机 B通信。若主机 A知道主机 B的地址，那么在应用本发明实施例时，攻击者无法篡改主机 B发给主机 A的消息，因为通过应用 CGA签名，将主机 B的身份和 CGA 进行绑定，攻击者不知道主机 B的私钥，无法得出篡改后消息的正确签名。

上述实施例是在 IPv6扩展头中增加 CGA扩展头，该 CGA扩展头包括 CGA请求、 CGA参数、 CGA签名。此外，在另一个实施例中，还可以在现有 IPv6的目的选项头 ( Destination Options header )携带 CGA相关信息 , 该 CGA相关信息包括 CGA请求、 CGA参数、 CGA签名。

本发明实施例还提供了一种传输帧格式，该传输帧格式包括 CGA请求数据，用于在两个通信方釆用本发明实施例提供的通信的建立方法建立通信的过程中，在两个通信方之间传输 CGA请求。在通信过程中，通信任意一方均可以通过发送包括了 CGA请求选项的 IP数据包来向对方请求 CGA参数和 CGA签名。接收到该 IP数据包的通信方需要在回复的数据包中包括 CGA参数、 CGA签名。

本发明实施例提出的 CGA请求选项的格式如图 5所示，该 CGA请求选项包括：

类型（Type ) 字段，为 8 比特无符号整数，在本实施例中，当该类型字段的数值为 193时，表明该数据包为 CGA请求。在其它实施例中，也可用其它数值表明该数据包为 CGA请求。

预留域（Reserved )字段，长度为 24比特，以备将来扩展使用。该预留域字段必须设为 0。

序列号（ Sequence Number )字段，为 32比特随机数，包括防止重放攻击的信息。

本发明实施例还提供了一种传输帧格式，该传输帧格式包括 CGA参数数据，用于在两个通信方釆用本发明实施例提供的通信的建立方法建立通信的过程中，在两个通信方之间传输 CGA参数，接收到 CGA参数的通信方根据该 CGA参数对 CGA进行验证。

本发明实施例提出的 CGA参数选项的格式如图 6所示，该 CGA参数选项包括：

类型（Type ) 字段，为 8 比特无符号整数。在本实施例中，当该类型字段的数值为 194时，表明该数据包为 CGA参数。在其它实施例中，也可用其它值表明该数据包为 CGA参数。

长度（Length ) 字段，为 8 比特无符号整数，以字节为单位，表明整个 CGA参数的长度，为类型字段、长度字段、填充长度字段、预留域字段、序列号字段、 CGA参数字段以及填充字段等各字段长度的总和，在另一个实施例中，长度字段可以是 8字节。

填充长度 ( Pad Length )字段，为 8比特无符号整数，表示填充字段的长度，单位为字节。

预留域（Reserved )字段，长度为 8比特字段，以备将来扩展使用。该预留域字段必须设为 0。

序列号（ Sequence Number )字段，为 32比特整数，包括防止重放攻击的信息。如果该 CGA参数用于响应 CGA请求，该序列号字段的值为 CGA请求中的序列号的值加 1 ; 否则，将该序列号字段置为 0。

参数 ( Parameters ) 字段，长度可变，包括 CGA参数信息。

填充（Padding ) 字段，可变长度域，用于使数据包长度为 8字节的整数倍。该填充字段的内容必须为 0。

本发明实施例还提供一种传输帧格式，该传输帧格式包括 CGA签名数据，用于在两个通信方釆用本发明实施例提供的通信的建立方法建立通信的过程中，在两个通信方之间传输 CGA签名， CGA签名用于发送使用 CGA参数中的公钥所对应的私钥对数据包的签名。本发明实施例提出的 CGA签名选项的格式如图 7所示，该 CGA签名选项包括：

类型（Type ) 字段，为 8 比特无符号整数。在本实施例中，若类型字段的数值为 195时，表明该数据包为 CGA签名。在其它实施例中，也可用其它数值表明该数据包为 CGA签名。

长度（Length )字段，为 8比特无符号整数，以字节为单位表明整个 CGA 签名的长度，为类型字段、长度字段、填充长度字段、预留域字段、 CGA签名字段和填充字段等各字段长度的总和。

预留域（Reserved )字段，长度为 8比特，以备将来展使用。该预留域字段必须设为 0。

签名（Signature )字段，为可变长度字段，包括用发送者私钥对数据包内容的签名。

填充（Padding ) 字段，为可变长度字段，用于使数据包长度为 8字节的整数倍。该填充字段的内容必须为 0。

如图 8所示，为本发明实施例通信的建立系统的结构图，包括：第一通信方 81 , 用于接收 CGA请求，并回复 CGA参数和 CGA签名；第二通信方 82，用于发送 CGA请求至第一通信方 81，接收第一通信方

81回复的 CGA参数和 CGA签名，并对该 CGA参数和 CGA签名进行验证，在验证成功之后，与第一通信方 81建立通信。

在本发明的另一实施例中，如图 9所示，第二通信方 82可以包括：发送模块 821 , 用于发送 CGA请求至第一通信方 81；

接收模块 822 , 用于接收第一通信方 81回复的 CGA参数和 CGA签名；验证模块 823，用于对接收模块 822接收的 CGA参数和 CGA签名进行验证；

通信建立模块 824，用于在验证模块 823 验证成功之后，与第一通信方 81建立通信。该发送模块 821可以包括：

会话请求接收子模块 8211 , 用于接收第一通信方 81发送的会话请求； CGA请求发送子模块 8212, 用于当会话请求接收子模块 8211接收的会话请求的 IPv6扩展头中不包括 CGA扩展头，或者该会话请求包括内容为空的 CGA扩展头，或该会话请求的 IPv6扩展头中不包括目的选项头，或该会话请求的 IPv6的目的选项头不包括 CGA相关信息时，发送 CGA请求至第一通信方 81。

该第二通信方 82还可以包括：

CGA请求接收模块 825, 用于在接收模块 822接收第一通信方 81回复的 CGA参数和 CGA签名的同时，接收第一通信方 81发送的 CGA请求；

CGA回复模块 826, 用于在 CGA请求接收模块 825接收到第一通信方 81发送的 CGA请求，且验证模块 823验证 CGA参数和 CGA签名成功之后，向第一通信方 81回复第二通信方 82的 CGA参数和 CGA签名。

上述通信的建立系统，在建立通信的过程中，第二通信方 82通过验证第一通信方 81回复的 CGA参数和 CGA签名，确定第一通信方 81CGA的真实性，有效防止了 IP地址欺骗，防止或减轻了由于 IP地址欺骗引起的一些网络安全问题。

如图 10所示，为本发明实施例通信设备 10的结构图，包括：

发送模块 101 , 用于发送 CGA请求至另一通信设备；

接收模块 102 , 用于接收另一通信设备回复的 CGA参数和 CGA签名；验证模块 103 , 用于对接收模块 102接收的 CGA参数和 CGA签名进行验证；

通信建立模块 104，用于在验证模块 103验证成功之后，与另一通信设备建立通信。

在本发明的另一实施例中，如图 11所示，发送模块 101可以包括：会话请求接收子模块 1011，用于接收另一通信设备发送的会话请求； CGA请求发送子模块 1012，用于当会话请求接收子模块 1011接收的会话请求的 Ip_V6扩展头中不包括 CGA扩展头，或者该会话请求包括内容为空的 CGA扩展头，或该会话请求的 IPv6扩展头中不包括目的选项头，或该会话请求的 IPv6扩展头中目的选项头不包括 CGA相关信息时，发送该 CGA请求至另一通信设备。

该通信设备 10还可以包括：

CGA请求接收模块 105 , 用于在接收模块 102接收另一通信设备回复的 CGA参数和 CGA签名的同时，接收所述另一通信设备发送的 CGA请求；

CGA回复模块 106,用于在 CGA请求接收模块 105接收到另一通信设备发送的 CGA请求，且在验证模块 103验证 CGA参数和 CGA签名成功之后，向另一通信设备回复该通信设备的 CGA参数和 CGA签名。

上述通信设备，在与另一通信设备建立通信的过程中，发送模块 101 发送 CGA请求至另一通信设备，接收模块 102接收另一通信设备回复的 CGA 参数和 CGA签名，验证模块 103对接收模块 102接收的 CGA参数和 CGA签名进行验证，确定第一通信方 51CGA的真实性，在验证模块 103验证成功之后，通信建立模块 104 与另一通信设备建立通信。使用本发明实施例提供的上述通信设备，可以有效防止 IP地址欺骗，防止或减轻由于 IP地址欺骗？ I起的一些网络安全问题。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是 CD- R0M， U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

1、一种通信的建立方法，用于建立至少两个通信方之间的通信，包括第一通信方和第二通信方，其特征在于，包括：

发送加密生成地址 CGA请求至所述第一通信方；

接收所述第一通信权方回复的 CGA参数和 CGA签名；

2、如权利要求 1所述通信的建立方法，其特征在于，在所述发送 CGA请求至第一通信方之前，还包括：接收所述第一通信方发送的会话请求，当所述求的 IPv6扩展头中不包括目的选项头时，发送 CGA请求至所述第一通信方。

3、如权利要求 1所述通信的建立方法，其特征在书于，在所述发送 CGA请求至第一通信方之前，还包括：接收所述第一通信方发送的会话请求，当所述会话请求包括内容为空的 CGA扩展头，或所述会话请求的 IPv6扩展头的目的选项头不包括 CGA相关信息时，发送 CGA请求至所述第一通信方。

4、如权利要求 1 所述通信的建立方法，其特征在于，在所述接收第一通信方回复的 CGA参数和 CGA签名的同时，还接收所述第一通信方发送的 CGA 请求；

在验证所述 CGA参数和 CGA签名成功之后 ,向所述第一通信方回复所述第二通信方的 CGA参数和 CGA签名；

在所述第一通信方验证所述第二通信方的 CGA参数和 CGA签名成功之后，建立与所述第一通信方通信。

5、如权利要求 1至 4任意一项所述通信的建立方法，其特征在于，所述 CGA参数和 CGA签名携带在 IPv6扩展头的 CGA扩展头中或携带在 IPv6的目的选项头中。

6、一种通信设备，其特征在于，包括：

发送模块，用于发送加密生成地址 CGA请求至另一通信设备；

接收模块，用于接收所述另一通信设备回复的 CGA参数和 CGA签名；验证模块，用于对所述接收模块接收的 CGA参数和 CGA签名进行验证；通信建立模块，用于在所述验证模块验证成功之后，与所述另一通信设备建立通信。

7、如权利要求 6所述通信设备，其特征在于，所述发送模块包括：会话请求接收子模块，用于接收所述另一通信设备发送的会话请求；

CGA请求发送子模块，用于当所述会话请求接收子模块接收的会话请求的 IPv6扩展头中不包括 CGA扩展头，或者所述会话请求包括内容为空的 CGA 扩展头，或所述会话请求的 IPv6扩展头中不包括目的选项头，或所述会话请求的 IPv6扩展头中目的选项头不包括 CGA相关信息时，发送所述 CGA请求至所述另一通信设备。

8、如权利要求 6所述通信设备，其特征在于，还包括：

CGA请求接收模块，用于在所述接收模块接收所述另一通信设备回复的 CGA参数和 CGA签名的同时，接收所述另一通信设备发送的 CGA请求；

CGA回复模块，用于在所述 CGA请求接收模块接收到所述另一通信设备发送的 CGA请求，且所述验证模块验证所述 CGA参数和 CGA签名成功之后，向所述另一通信设备回复所述通信设备的 CGA参数和 CGA签名。

9、一种通信的建立系统，其特征在于，包括：

第二通信方，用于发送所述 CGA请求至所述第一通信方，接收所述第一通信方回复的 CGA参数和 CGA签名 , 并对所述 CGA参数和 CGA签名进行验证，在验证成功之后，与所述第一通信方建立通信。

10、如权利要求 9所述通信的建立系统，其特征在于，所述第二通信方的特征如权利要求 6 - 8任一项所述。

11、一种传输帧格式，其特征在于，所述传输帧格式包括加密生成地址 CGA请求数据，用于在两个通信方采用权利要求 1 所述的通信的建立方法建立通信的过程中，在两个通信方之间传输 CGA请求，所述传输帧格式包括类型字段和预留域字段。

12、如权利要求 11 所述传输帧格式，其特征在于，所述传输帧格式还包序列号字段，所述序列号字段，包括防止重放攻击的信息。

13、如权利要求 11 所述传输帧格式，其特征在于，所述类型字段标识所述传输帧为 CGA请求帧。

14、如权利要求 11 所述传输帧格式，其特征在于，所述传输帧格式还包括：

长度字段、填充长度字段、参数字段和填充字段，其中，所述参数字段，包括 CGA参数信息。

15、如权利要求 14所述传输帧格式，其特征在于，所述类型字段，标识所述传输帧为 CGA参数帧；

所述长度字段，以字节为单位表示整个传输帧的长度。

16、如权利要求 11 所述传输帧格式，其特征在于，所述传输帧格式还包括：

长度字段、填充长度字段、签名字段和填充字段，其中，所述签名字段，包括用发送者私钥对数据包内容的签名。

17、如权利要求 16所述传输帧格式，其特征在于，所述类型字段，标识所述传输帧为 CGA签名帧；

所述长度字段，以字节为单位表示整个传输帧的长度。