淺談IPv6網(wǎng)絡(luò)下的用戶管理

摘要：隨著全球IPv4地址的告罄，IPv6的大規(guī)模應(yīng)用已經(jīng)走上舞臺。由于業(yè)務(wù)與用戶的迅猛增長，如何能夠?qū)Pv6建設(shè)成和IPv4網(wǎng)絡(luò)一樣安全、可管理、可運營的模式成為IPv6網(wǎng)絡(luò)環(huán)境下新的挑戰(zhàn)。本文結(jié)合在IPv4網(wǎng)絡(luò)中使用的用戶管理模式，探討了IPv6網(wǎng)絡(luò)環(huán)境下如何對網(wǎng)絡(luò)接入用戶進行控制和管理。

關(guān)鍵詞：IPv6；用戶管理；身份認(rèn)證

中圖分類號：TP393.0 文獻標(biāo)識碼：A

User Management of IPv6 Network

HE Weihua

(Sichuan Electromechanical Institute of Vocation and Technology,Panzhihua 617000,China)

Abstract:With the global IPv4 address is exhausted,the large-scale application of IPv6 has stepped onto the stage.Due to the rapid growth of business and user,how can the building IPv6 and IPv4 network security,management,operation to become the new challenges of IPv6 under the network environment.This combination of user management model used in IPv4 network,discusses the IPv6 network environment,how to network access control and management.

Keywords:IPv6;user management;identity authentication

1 引言(Introduction)

在原有的IPv4網(wǎng)絡(luò)中，主要面臨的用戶安全和管理問題有偽造報文、ARP攻擊、網(wǎng)絡(luò)身份難以界定等，很多廠商設(shè)計、開發(fā)了相關(guān)技術(shù)以解決IPv4網(wǎng)絡(luò)使用授權(quán)與運營、網(wǎng)絡(luò)行為審計、用戶攻擊行為、安全準(zhǔn)入等問題。而IPv6建設(shè)初期是以基礎(chǔ)平臺搭建為重點，缺乏對用戶管理的有效手段，存在用戶資源不可控的風(fēng)險(如基于IPv6網(wǎng)絡(luò)的用戶可控運營、IPv6非法網(wǎng)絡(luò)行為審計、ND攻擊與偽DHCPv6服務(wù)等造成的安全隱患、IPv4與IPv6網(wǎng)絡(luò)使用授權(quán)不統(tǒng)一等問題)。

事實上，IPv4網(wǎng)絡(luò)中的很多接入控制技術(shù)都可以應(yīng)用到IPv6網(wǎng)絡(luò)中。基于TCP/IP二層的身份認(rèn)證技術(shù)，基本上不做變動就可以使用；基于三層的技術(shù)一般需要做相應(yīng)的改動。我們不妨參考IPv4網(wǎng)絡(luò)下的管理模式來看看，IPv6網(wǎng)絡(luò)環(huán)境下如何對網(wǎng)絡(luò)接入用戶進行控制和管理。

2 靜態(tài)綁定IP、MAC地址(Static binding IP, MAC

address)

在IPv4網(wǎng)絡(luò)中，為了防止非法用戶接入網(wǎng)絡(luò)，常采用靜態(tài)分配IP地址的管理模式，通過IP地址、MAC地址、接入交換機端口的綁定來實現(xiàn)用戶的接入控制。這種控制手段是比較嚴(yán)格的，即使盜用者修改了IP地址，也會因MAC地址不匹配而盜用失敗。且事后行為審計也較容易，由于網(wǎng)卡MAC地址的唯一性，可以根據(jù)MAC地址以及接入交換機的端口信息，準(zhǔn)確的定位接入位置和該MAC地址對應(yīng)的電腦終端[1]。但這種管理模式通常要求網(wǎng)絡(luò)接入設(shè)備具有管理能力，能夠支持IP和端口綁定，每端口成本相對較高。且這種管理手段并不能阻止局域網(wǎng)內(nèi)的IP仿冒和違規(guī)活動，同時也增加了網(wǎng)管工作量，限制了用戶的移動漫游。此外，靜態(tài)IP地址分配方式還存在地址利用率低和地址回收困難的問題。因此采用此管理模式的網(wǎng)絡(luò)不多。

在IPv6網(wǎng)絡(luò)中繼續(xù)沿用此方式同樣會存在問題，因為IPv6地址相對于IPv4地址而言，在長度和易記性上復(fù)雜得多。此外，由于無線網(wǎng)絡(luò)和智能終端的不斷普及，IPv6網(wǎng)絡(luò)中，用戶常常需要進行漫游，因此也難保證使用固定的IPv6地址?；谝陨显?，IPv6網(wǎng)絡(luò)中用戶計算機很少采用手工配置地址。雖然IPv6網(wǎng)絡(luò)中采用靜態(tài)分配并綁定IPv6地址、MAC方式在技術(shù)上是可行的，但由于靜態(tài)配置地址會比較麻煩，一般不予推薦。

3 動態(tài)綁定IPv6 和MAC地址(Dynamic binding of

IPv6 and MAC)

與靜態(tài)綁定相比，動態(tài)綁定在IPv4中應(yīng)用更加普及。依托于DHCP Snooping技術(shù)，可以監(jiān)控用戶申請IP地址時的報文交互過程，并將用戶獲取的IPv4地址、MAC和交換機端口自動做嚴(yán)格綁定，因此在防ARP、DHCP攻擊方面，比較有優(yōu)勢。但這種方式在事后審計某IP地址對應(yīng)的用戶時比較費力。由于MAC地址是匿名未登記的，根據(jù)IP和時間查出MAC地址也無法定位用戶。所以這種方式要實現(xiàn)用戶定位，必須和別的系統(tǒng)相配合使用[2]。例如依賴于某些網(wǎng)關(guān)系統(tǒng)，通過定時掃描IP、MAC和端口的對應(yīng)關(guān)系并記錄，事后根據(jù)IP地址查找到對應(yīng)的物理端口。但如果網(wǎng)絡(luò)中存在Hub的情況或是有大量終端設(shè)備進行漫游時，用戶一樣很難定位。因此該種方式在定位用戶時仍然有缺陷，一般需要配合其他的認(rèn)證方式。

在IPv6網(wǎng)絡(luò)中，盡管有SLAAC和DHCPv6等技術(shù)來解決報文源地址偽造的問題。但通過分析可以發(fā)現(xiàn)，在協(xié)議交互過程中，終端主機始終沒有發(fā)送用戶名和密碼的機制，因此嚴(yán)格來說不能算作是一種接入認(rèn)證技術(shù)，更多地是一種終端配置實現(xiàn)，包括地址、DNS地址、缺省網(wǎng)關(guān)、時效等參數(shù)。因此，在IPv6部署這種技術(shù)手段的缺陷和IPv4是類似的。

4 802.1X認(rèn)證技術(shù)(802.1X authentication

technology)

802.1X是IPv4網(wǎng)絡(luò)中應(yīng)用范圍廣、歷史悠久的網(wǎng)絡(luò)接入認(rèn)證技術(shù)。它是一種二層技術(shù)，因此對IPv4和IPv6網(wǎng)絡(luò)均可使用。由于802.1X是基于用戶賬號的，因此可以支持用戶在網(wǎng)絡(luò)內(nèi)的漫游。但802.1X在應(yīng)用于IPv6時，需要考慮雙棧的情況。在IPv4、IPv6雙棧環(huán)境下，原有的IPv4用戶會升級為IPv6/IPv4的雙棧客戶端，在這種情況下，需要對原有的IPv4用戶認(rèn)證系統(tǒng)進行升級，使得客戶端、認(rèn)證服務(wù)器能夠識別一個雙棧用戶，對其進行相應(yīng)的認(rèn)證并執(zhí)行對應(yīng)的安全措施[3]。

由于802.1X是在鏈路層對用戶進行認(rèn)證，當(dāng)認(rèn)證完成后，根據(jù)接入用戶的MAC地址進行控制。而對使用了IPv6/IPv4的雙棧用戶而言，認(rèn)證客戶端不僅能夠在鏈路層執(zhí)行用戶認(rèn)證過程，還需要針對這個用戶將用戶的IPv6/IPv4地址上傳到服務(wù)器上，為后續(xù)針對用戶的控制、審計提供必要的支撐。因此認(rèn)證客戶端需要支持對認(rèn)證網(wǎng)卡上的雙棧地址的上傳。升級后的認(rèn)證客戶端會在802.1X認(rèn)證時，將客戶端認(rèn)證網(wǎng)卡上的IPv4地址以及IPv6的全球單播地址通過接入設(shè)備上傳至認(rèn)證服務(wù)器，完成對雙棧用戶的識別。

認(rèn)證服務(wù)器需要能夠?qū)蛻舳松蟼鞯腎Pv6/IPv4地址進行記錄，對接入用戶的日志信息進行審計。除了對用戶的接入信息進行審計之外，在認(rèn)證服務(wù)器上還可以對用戶的身份信息進行綁定，能夠綁定用戶的IPv4/IPv6地址，接入端口，MAC地址等信息進行聯(lián)合綁定，提高用戶身份的可信度。

endprint

通過對802.1X認(rèn)證客戶端及認(rèn)證服務(wù)器升級，能夠處理雙棧用戶的網(wǎng)絡(luò)層信息，這樣為后續(xù)的用戶身份審計、用戶上網(wǎng)審計提供了有效參考。并且，在網(wǎng)絡(luò)中能夠?qū)﹄p棧用戶的各種身份信息進行綁定，大大提高了接入用戶的安全性。

5 Web Portal認(rèn)證技術(shù)(Web Portal authentication

technology)

Web Portal技術(shù)也簡稱為Web認(rèn)證。未認(rèn)證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其他信息時，必須在門戶網(wǎng)站進行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認(rèn)證網(wǎng)站，輸入用戶名和密碼進行認(rèn)證，這種開始Portal認(rèn)證的方式稱作主動認(rèn)證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal認(rèn)證網(wǎng)站，從而開始Portal認(rèn)證過程，這種方式稱作強制認(rèn)證。Web Portal認(rèn)證方式由于無客戶端、終端兼容性好的優(yōu)點，近年來大量應(yīng)用于基于接入或匯聚交換機的準(zhǔn)入認(rèn)證控制，或是企業(yè)的準(zhǔn)入認(rèn)證控制系統(tǒng)中。由于Web Portal是基于三層技術(shù)，因此交換機、Web Portal服務(wù)器和RADIUS服務(wù)器都需要進行相應(yīng)的改造升級，以支持IPv6的Portal認(rèn)證。

在IPv6環(huán)境下用戶嘗試接入網(wǎng)絡(luò)時，Web Portal服務(wù)器將提供給用戶IPv6 HTTP頁面，用于輸入訪問的用戶名和密碼。用戶提交密碼后，Web Portal服務(wù)器從用戶提交的用戶名和密碼，組裝后發(fā)送給認(rèn)證控制設(shè)備，由認(rèn)證控制設(shè)備進一步封裝為認(rèn)證請求報文傳遞給RADIUS服務(wù)器，并等待返回認(rèn)證結(jié)果報文。若認(rèn)證結(jié)果成功，認(rèn)證控制設(shè)備將開啟受控邏輯端口，允許接入用戶訪問更多的IPv6網(wǎng)絡(luò)資源[4]。

雖然在IPv6環(huán)境下，Web Portal認(rèn)證相對于802.1X認(rèn)證，在控制嚴(yán)格度上略有不足，但是其依賴于無需安裝客戶端和客戶端兼容性好的優(yōu)點，更適合于在諸多校園及科研機構(gòu)部署。目前以清華大學(xué)、山東大學(xué)為領(lǐng)導(dǎo)的《基于Web的以太網(wǎng)接入身份認(rèn)證技術(shù)規(guī)范》，就是以Web Portal技術(shù)為核心指導(dǎo)思想的網(wǎng)絡(luò)用戶接入規(guī)范，為諸多高校的IPv6網(wǎng)絡(luò)建設(shè)指明了一條可以成功復(fù)制的技術(shù)方向。

6 結(jié)論(Conclusion)

隨著IPv6新技術(shù)的高速發(fā)展，新網(wǎng)絡(luò)環(huán)境下的用戶接入控制將成為安全問題的核心。無論是通過綁定方式還是接入身份認(rèn)證方式，都有各自的適用范圍。眾所周知，用戶身份認(rèn)證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件，真實可信的網(wǎng)絡(luò)身份認(rèn)證體系一方面能夠讓惡意者在做有害行為之前有所顧忌，防微杜漸；另一方面也可以讓網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準(zhǔn)確及時地找到肇事者，在一定程度上防止安全事件的再次發(fā)生。因此，802.1X認(rèn)證技術(shù)和基于Web Portal的用戶身份認(rèn)證技術(shù)，在IPv6網(wǎng)絡(luò)下提供了更好的易用性和兼容性，將安全性和易用性進行有機結(jié)合，不僅大大降低了用戶接受認(rèn)證的阻力，也更好地滿足了網(wǎng)絡(luò)的身份準(zhǔn)入安全和網(wǎng)絡(luò)易管理易部署的要求[5]。

參考文獻(References)

[1] 李哲夫.基于IPv6的校園網(wǎng)用戶管理系統(tǒng)設(shè)計[J].微計算機應(yīng)用,2011(4):34-38.

[2] 柏強,許譯文,王應(yīng)求.淺析基于IPv6環(huán)境下的校園網(wǎng)絡(luò)管理與應(yīng)用[J].科技信息,2012(20):17.

[3] 唐穎.基于IPv6協(xié)議的校園網(wǎng)的構(gòu)建和設(shè)計[J].信息系統(tǒng)工程,2012(4):31-32.

[4] 余金城,等.下一代互聯(lián)網(wǎng)中基于Portal的身份認(rèn)證技術(shù)研究與實現(xiàn)[R].中國計算機用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會2010年網(wǎng)絡(luò)新技術(shù)與應(yīng)用研討會,2010.

[5] 羅飛.論高校數(shù)字校園建設(shè)中身份認(rèn)證方式的選擇[J].科學(xué)咨詢,2012(22):59-60.

作者簡介：

何衛(wèi)華(1976-)，男，本科，講師.研究領(lǐng)域：網(wǎng)絡(luò)技術(shù).

endprint