IPV6網(wǎng)絡下的接入用戶管理方法研究

摘 要：隨著IPv4地址的耗盡，由IPv4向IPv6的全面轉(zhuǎn)換變成一個現(xiàn)實發(fā)生的事情，IPv6網(wǎng)絡下同樣面臨用戶安全和管理問題，本文參考IPv4分析了IPv6網(wǎng)絡下接入用戶進行控制和管理的四種可行的技術。

關鍵詞：IPv6；接入用戶管理

中圖分類號：TN929.5

2011年2月，IPv4地址最終分發(fā)完畢，而我國網(wǎng)民的數(shù)量和包括物聯(lián)網(wǎng)在內(nèi)的各種網(wǎng)絡應用的還在快速增加，所以由IPv4向IPv6的全面轉(zhuǎn)換正在加速進行中。在IPv4網(wǎng)絡中，主要面臨的用戶安全和管理問題有偽造報文、ARP攻擊、網(wǎng)絡身份難以界定等，很多廠商設計開發(fā)了相關技術以解決IPv4網(wǎng)絡使用授權、網(wǎng)絡行為審計和用戶攻擊行為等問題。而IPv6建設初期是以基礎平臺搭建為重點，缺乏對用戶管理的有效手段，存在用戶資源不可控的風險，如基于IPv6網(wǎng)絡的用戶可控運營、IPv6非法網(wǎng)絡行為審計和偽DHCPv6服務等問題。如何能夠?qū)Pv6建設成和IPv4網(wǎng)絡一樣安全、可管理、可運營成為IPv6網(wǎng)絡環(huán)境下新的挑戰(zhàn)。

我們參考IPv4網(wǎng)絡下的管理模式來分析IPv6網(wǎng)絡環(huán)境下如何對網(wǎng)絡接入用戶進行控制和管理。事實上，IPv4網(wǎng)絡的中的很多接入控制技術都可以應用到IPv6網(wǎng)絡中?；赥CP/IP二層的身份認證技術，基本上不做變動就可以使用；基于三層的技術一般需要做相應的改動。下面我們提出四種接入用戶管理技術：

1 綁定靜態(tài)IP地址、MAC地址和交換機端口

在IPv4網(wǎng)絡中，可通過靜態(tài)IP地址、MAC地址、接入交換機端口的綁定來實現(xiàn)用戶的接入控制。這種控制手段簡單實用，且事后行為審計也較容易，可以根據(jù)MAC地址以及接入交換機的端口信息，準確的定位接入位置和該MAC地址對應的電腦終端。但這種管理模式并不能阻止局域網(wǎng)內(nèi)的IP仿冒，同時大大增加了網(wǎng)管工作量，限制了用戶的移動漫游。此外，靜態(tài)IP地址分配方式還存在地址利用率低和地址回收困難的問題，因此采用此管理模式的網(wǎng)絡較少。

在IPv6網(wǎng)絡中繼續(xù)沿用此方式同樣會存在問題，因為IPv6地址相對于IPv4地址而言，在長度和易記性上復雜得多。此外，由于無線網(wǎng)絡和智能終端的不斷普及，IPv6網(wǎng)絡中，用戶常常需要進行漫游，也不適合使用固定的IPv6地址。因此IPv6網(wǎng)絡中用戶計算機很少采用靜態(tài)地址。所以雖然IPv6網(wǎng)絡中采用靜態(tài)分配并綁定IPv6地址、MAC方式在技術上是可行的，但一般不推薦。

2 動態(tài)綁定IPv6 和MAC地址

與靜態(tài)綁定相比，動態(tài)綁定在IPv4中應用更加普及。依托于DHCP Snooping技術，可以監(jiān)控用戶申請IP地址時的報文交互過程，并將用戶獲取的IPv4地址、MAC和交換機端口自動做嚴格綁定，因此在防ARP、DHCP攻擊方面，比較有優(yōu)勢。但這種方式在事后審計某IP地址對應的用戶時比較費力。由于MAC地址是匿名未登記的，根據(jù)IP和時間查出MAC地址也無法定位用戶。所以這種方式要實現(xiàn)用戶定位，必須和別的系統(tǒng)相配合使用。例如依賴于某些網(wǎng)關系統(tǒng)，通過定時掃描IP、MAC和端口的對應關系并記錄，事后根據(jù)IP地址查找到對應的物理端口。但如果網(wǎng)絡中存在Hub的情況或是有大量終端設備進行漫游時，用戶一樣很難定位。因此該種方式在定位用戶時仍然有缺陷，一般需要配合其他的認證方式。

在IPv6網(wǎng)絡中，盡管有SLAAC（Stateless address auto configuration）和DHCPv6等技術來解決報文源地址偽造的問題。但通過分析可以發(fā)現(xiàn)，在協(xié)議交互過程中，終端主機始終沒有發(fā)送用戶名和密碼的機制，因此嚴格來說不能算作是一種接入認證技術，更多地是一種終端配置實現(xiàn)，包括地址、DNS地址、缺省網(wǎng)關、時效等參數(shù)。因此，在IPv6部署這種技術手段的缺陷和IPv4是類似的。

3 802.1X認證技術

802.1X是一種二層技術，因此對IPv4和IPv6網(wǎng)絡均可使用。由于802.1X是基于用戶賬號的，因此可以支持用戶在網(wǎng)絡內(nèi)的漫游。但802.1X在應用于IPv6時，需要考慮雙棧的情況，需要對原有的IPv4用戶認證系統(tǒng)進行升級，使得客戶端、認證服務器能夠識別一個雙棧用戶，對其進行相應的認證并執(zhí)行對應的安全措施。升級后的認證客戶端應該能在802.1X認證時，將客戶端認證網(wǎng)卡上的IPv4地址以及IPv6的全球單播地址通過接入設備上傳至認證服務器，完成對雙棧用戶的識別。認證服務器需要能夠?qū)蛻舳松蟼鞯腎Pv6/IPv4地址進行記錄，對接入用戶的日志信息進行審計。除了對用戶的接入信息進行審計之外，在認證服務器上還可以對用戶的身份信息進行綁定，能夠綁定用戶的IPv4/IPv6地址、接入端口和MAC地址等信息進行聯(lián)合綁定，提高用戶身份的可信度。通過對802.1X認證客戶端及認證服務器升級，能夠處理雙棧用戶的網(wǎng)絡層信息，為后續(xù)的用戶身份審計、上網(wǎng)審計提供了有效參考。

4 Web Portal認證技術

Web Portal技術也簡稱為Web認證。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免認證訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶也可以主動訪問已知的Portal認證網(wǎng)站進行認證；也可以輸入任意合法網(wǎng)址，然后被強制定向到Portal認證網(wǎng)站進行認證。Web Portal認證方式由于無客戶端、終端兼容性好的優(yōu)點，大量應用于基于接入或匯聚交換機的準入認證控制，或是企業(yè)的準入認證控制系統(tǒng)中。由于Web Portal是基于三層技術，因此交換機、Web Portal服務器和RADIUS服務器都需要進行相應的改造升級，以支持IPv6的Portal認證。

在IPv6環(huán)境下用戶嘗試接入網(wǎng)絡時，Web Portal服務器將提供給用戶IPv6 HTTP頁面，用于輸入訪問的用戶名和密碼。用戶提交密碼后，Web Portal服務器從用戶提交的用戶名和密碼，組裝后發(fā)送給認證控制設備，由認證控制設備進一步封裝為認證請求報文傳遞給RADIUS服務器，并等待返回認證結(jié)果報文。若認證結(jié)果成功，認證控制設備將開啟受控邏輯端口，允許接入用戶訪問更多的IPv6網(wǎng)絡資源。

雖然在IPv6環(huán)境下，Web Portal認證相對于802.1X認證，在控制嚴格度上略有不足，但是由于其無需安裝客戶端和客戶端兼容性好的優(yōu)點，更適合于在諸多校園及科研機構(gòu)部署。

5 結(jié)束語

隨著IPv6新技術的高速發(fā)展，新網(wǎng)絡環(huán)境下的用戶接入控制將成為安全問題的核心。無論是通過綁定方式還是接入身份認證方式，都有各自的適用范圍。用戶身份認證是建設安全可信網(wǎng)絡的前提條件，真實可信的網(wǎng)絡身份認證體系一方面能對惡意者有威懾，減少有害行為發(fā)生的概率；另一方面也可以在安全事件發(fā)生后能準確及時地找到肇事者。因此，802.1X認證技術和基于Web Portal的用戶身份認證技術，在IPv6網(wǎng)絡下提供了更好的易用性和兼容性，將安全性和易用性進行有機結(jié)合，不僅大大降低了用戶接受認證的阻力，也更好地滿足了網(wǎng)絡的身份準入安全和網(wǎng)絡易管理易部署的要求。

參考文獻：

[1]楊慧誼.基于802.1x協(xié)議網(wǎng)絡認證技術研究與實現(xiàn)[D].電子科技大學，2013.

[2]任治洪.局域網(wǎng)Portal認證研究及應用[J].甘肅科技，2012（12）.

作者簡介：徐斌（1978.09-），男，浙江金華人，碩士研究生，講師，信息管理中心副主任，研究方向：計算機網(wǎng)絡技術。

作者單位：南京鐵道職業(yè)技術學院信息管理中心，南京 210015