摘 要：隨著IPv4地址的耗盡，由IPv4向IPv6的全面轉(zhuǎn)換變成一個(gè)現(xiàn)實(shí)發(fā)生的事情，IPv6網(wǎng)絡(luò)下同樣面臨用戶安全和管理問題，本文參考IPv4分析了IPv6網(wǎng)絡(luò)下接入用戶進(jìn)行控制和管理的四種可行的技術(shù)。

關(guān)鍵詞：IPv6；接入用戶管理

中圖分類號：TN929.5

2011年2月，IPv4地址最終分發(fā)完畢，而我國網(wǎng)民的數(shù)量和包括物聯(lián)網(wǎng)在內(nèi)的各種網(wǎng)絡(luò)應(yīng)用的還在快速增加，所以由IPv4向IPv6的全面轉(zhuǎn)換正在加速進(jìn)行中。在IPv4網(wǎng)絡(luò)中，主要面臨的用戶安全和管理問題有偽造報(bào)文、ARP攻擊、網(wǎng)絡(luò)身份難以界定等，很多廠商設(shè)計(jì)開發(fā)了相關(guān)技術(shù)以解決IPv4網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)行為審計(jì)和用戶攻擊行為等問題。而IPv6建設(shè)初期是以基礎(chǔ)平臺搭建為重點(diǎn)，缺乏對用戶管理的有效手段，存在用戶資源不可控的風(fēng)險(xiǎn)，如基于IPv6網(wǎng)絡(luò)的用戶可控運(yùn)營、IPv6非法網(wǎng)絡(luò)行為審計(jì)和偽DHCPv6服務(wù)等問題。如何能夠?qū)Pv6建設(shè)成和IPv4網(wǎng)絡(luò)一樣安全、可管理、可運(yùn)營成為IPv6網(wǎng)絡(luò)環(huán)境下新的挑戰(zhàn)。

我們參考IPv4網(wǎng)絡(luò)下的管理模式來分析IPv6網(wǎng)絡(luò)環(huán)境下如何對網(wǎng)絡(luò)接入用戶進(jìn)行控制和管理。事實(shí)上，IPv4網(wǎng)絡(luò)的中的很多接入控制技術(shù)都可以應(yīng)用到IPv6網(wǎng)絡(luò)中?；赥CP/IP二層的身份認(rèn)證技術(shù)，基本上不做變動就可以使用；基于三層的技術(shù)一般需要做相應(yīng)的改動。下面我們提出四種接入用戶管理技術(shù)：

1 綁定靜態(tài)IP地址、MAC地址和交換機(jī)端口

在IPv4網(wǎng)絡(luò)中，可通過靜態(tài)IP地址、MAC地址、接入交換機(jī)端口的綁定來實(shí)現(xiàn)用戶的接入控制。這種控制手段簡單實(shí)用，且事后行為審計(jì)也較容易，可以根據(jù)MAC地址以及接入交換機(jī)的端口信息，準(zhǔn)確的定位接入位置和該MAC地址對應(yīng)的電腦終端。但這種管理模式并不能阻止局域網(wǎng)內(nèi)的IP仿冒，同時(shí)大大增加了網(wǎng)管工作量，限制了用戶的移動漫游。此外，靜態(tài)IP地址分配方式還存在地址利用率低和地址回收困難的問題，因此采用此管理模式的網(wǎng)絡(luò)較少。

在IPv6網(wǎng)絡(luò)中繼續(xù)沿用此方式同樣會存在問題，因?yàn)镮Pv6地址相對于IPv4地址而言，在長度和易記性上復(fù)雜得多。此外，由于無線網(wǎng)絡(luò)和智能終端的不斷普及，IPv6網(wǎng)絡(luò)中，用戶常常需要進(jìn)行漫游，也不適合使用固定的IPv6地址。因此IPv6網(wǎng)絡(luò)中用戶計(jì)算機(jī)很少采用靜態(tài)地址。所以雖然IPv6網(wǎng)絡(luò)中采用靜態(tài)分配并綁定IPv6地址、MAC方式在技術(shù)上是可行的，但一般不推薦。

2 動態(tài)綁定IPv6 和MAC地址

與靜態(tài)綁定相比，動態(tài)綁定在IPv4中應(yīng)用更加普及。依托于DHCP Snooping技術(shù)，可以監(jiān)控用戶申請IP地址時(shí)的報(bào)文交互過程，并將用戶獲取的IPv4地址、MAC和交換機(jī)端口自動做嚴(yán)格綁定，因此在防ARP、DHCP攻擊方面，比較有優(yōu)勢。但這種方式在事后審計(jì)某IP地址對應(yīng)的用戶時(shí)比較費(fèi)力。由于MAC地址是匿名未登記的，根據(jù)IP和時(shí)間查出MAC地址也無法定位用戶。所以這種方式要實(shí)現(xiàn)用戶定位，必須和別的系統(tǒng)相配合使用。例如依賴于某些網(wǎng)關(guān)系統(tǒng)，通過定時(shí)掃描IP、MAC和端口的對應(yīng)關(guān)系并記錄，事后根據(jù)IP地址查找到對應(yīng)的物理端口。但如果網(wǎng)絡(luò)中存在Hub的情況或是有大量終端設(shè)備進(jìn)行漫游時(shí)，用戶一樣很難定位。因此該種方式在定位用戶時(shí)仍然有缺陷，一般需要配合其他的認(rèn)證方式。

在IPv6網(wǎng)絡(luò)中，盡管有SLAAC（Stateless address auto configuration）和DHCPv6等技術(shù)來解決報(bào)文源地址偽造的問題。但通過分析可以發(fā)現(xiàn)，在協(xié)議交互過程中，終端主機(jī)始終沒有發(fā)送用戶名和密碼的機(jī)制，因此嚴(yán)格來說不能算作是一種接入認(rèn)證技術(shù)，更多地是一種終端配置實(shí)現(xiàn)，包括地址、DNS地址、缺省網(wǎng)關(guān)、時(shí)效等參數(shù)。因此，在IPv6部署這種技術(shù)手段的缺陷和IPv4是類似的。

3 802.1X認(rèn)證技術(shù)

802.1X是一種二層技術(shù)，因此對IPv4和IPv6網(wǎng)絡(luò)均可使用。由于802.1X是基于用戶賬號的，因此可以支持用戶在網(wǎng)絡(luò)內(nèi)的漫游。但802.1X在應(yīng)用于IPv6時(shí)，需要考慮雙棧的情況，需要對原有的IPv4用戶認(rèn)證系統(tǒng)進(jìn)行升級，使得客戶端、認(rèn)證服務(wù)器能夠識別一個(gè)雙棧用戶，對其進(jìn)行相應(yīng)的認(rèn)證并執(zhí)行對應(yīng)的安全措施。升級后的認(rèn)證客戶端應(yīng)該能在802.1X認(rèn)證時(shí)，將客戶端認(rèn)證網(wǎng)卡上的IPv4地址以及IPv6的全球單播地址通過接入設(shè)備上傳至認(rèn)證服務(wù)器，完成對雙棧用戶的識別。認(rèn)證服務(wù)器需要能夠?qū)蛻舳松蟼鞯腎Pv6/IPv4地址進(jìn)行記錄，對接入用戶的日志信息進(jìn)行審計(jì)。除了對用戶的接入信息進(jìn)行審計(jì)之外，在認(rèn)證服務(wù)器上還可以對用戶的身份信息進(jìn)行綁定，能夠綁定用戶的IPv4/IPv6地址、接入端口和MAC地址等信息進(jìn)行聯(lián)合綁定，提高用戶身份的可信度。通過對802.1X認(rèn)證客戶端及認(rèn)證服務(wù)器升級，能夠處理雙棧用戶的網(wǎng)絡(luò)層信息，為后續(xù)的用戶身份審計(jì)、上網(wǎng)審計(jì)提供了有效參考。

4 Web Portal認(rèn)證技術(shù)

Web Portal技術(shù)也簡稱為Web認(rèn)證。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免認(rèn)證訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。用戶也可以主動訪問已知的Portal認(rèn)證網(wǎng)站進(jìn)行認(rèn)證；也可以輸入任意合法網(wǎng)址，然后被強(qiáng)制定向到Portal認(rèn)證網(wǎng)站進(jìn)行認(rèn)證。Web Portal認(rèn)證方式由于無客戶端、終端兼容性好的優(yōu)點(diǎn)，大量應(yīng)用于基于接入或匯聚交換機(jī)的準(zhǔn)入認(rèn)證控制，或是企業(yè)的準(zhǔn)入認(rèn)證控制系統(tǒng)中。由于Web Portal是基于三層技術(shù)，因此交換機(jī)、Web Portal服務(wù)器和RADIUS服務(wù)器都需要進(jìn)行相應(yīng)的改造升級，以支持IPv6的Portal認(rèn)證。

在IPv6環(huán)境下用戶嘗試接入網(wǎng)絡(luò)時(shí)，Web Portal服務(wù)器將提供給用戶IPv6 HTTP頁面，用于輸入訪問的用戶名和密碼。用戶提交密碼后，Web Portal服務(wù)器從用戶提交的用戶名和密碼，組裝后發(fā)送給認(rèn)證控制設(shè)備，由認(rèn)證控制設(shè)備進(jìn)一步封裝為認(rèn)證請求報(bào)文傳遞給RADIUS服務(wù)器，并等待返回認(rèn)證結(jié)果報(bào)文。若認(rèn)證結(jié)果成功，認(rèn)證控制設(shè)備將開啟受控邏輯端口，允許接入用戶訪問更多的IPv6網(wǎng)絡(luò)資源。

雖然在IPv6環(huán)境下，Web Portal認(rèn)證相對于802.1X認(rèn)證，在控制嚴(yán)格度上略有不足，但是由于其無需安裝客戶端和客戶端兼容性好的優(yōu)點(diǎn)，更適合于在諸多校園及科研機(jī)構(gòu)部署。

5 結(jié)束語

隨著IPv6新技術(shù)的高速發(fā)展，新網(wǎng)絡(luò)環(huán)境下的用戶接入控制將成為安全問題的核心。無論是通過綁定方式還是接入身份認(rèn)證方式，都有各自的適用范圍。用戶身份認(rèn)證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件，真實(shí)可信的網(wǎng)絡(luò)身份認(rèn)證體系一方面能對惡意者有威懾，減少有害行為發(fā)生的概率；另一方面也可以在安全事件發(fā)生后能準(zhǔn)確及時(shí)地找到肇事者。因此，802.1X認(rèn)證技術(shù)和基于Web Portal的用戶身份認(rèn)證技術(shù)，在IPv6網(wǎng)絡(luò)下提供了更好的易用性和兼容性，將安全性和易用性進(jìn)行有機(jī)結(jié)合，不僅大大降低了用戶接受認(rèn)證的阻力，也更好地滿足了網(wǎng)絡(luò)的身份準(zhǔn)入安全和網(wǎng)絡(luò)易管理易部署的要求。

參考文獻(xiàn)：

[1]楊慧誼.基于802.1x協(xié)議網(wǎng)絡(luò)認(rèn)證技術(shù)研究與實(shí)現(xiàn)[D].電子科技大學(xué)，2013.

[2]任治洪.局域網(wǎng)Portal認(rèn)證研究及應(yīng)用[J].甘肅科技，2012（12）.

作者簡介：徐斌（1978.09-），男，浙江金華人，碩士研究生，講師，信息管理中心副主任，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。

作者單位：南京鐵道職業(yè)技術(shù)學(xué)院信息管理中心，南京 210015