淺談IPv6網絡下的用戶管理

摘要：隨著全球IPv4地址的告罄，IPv6的大規模應用已經走上舞臺。由于業務與用戶的迅猛增長，如何能夠將IPv6建設成和IPv4網絡一樣安全、可管理、可運營的模式成為IPv6網絡環境下新的挑戰。本文結合在IPv4網絡中使用的用戶管理模式，探討了IPv6網絡環境下如何對網絡接入用戶進行控制和管理。

關鍵詞：IPv6；用戶管理；身份認證

中圖分類號：TP393.0 文獻標識碼：A

User Management of IPv6 Network

HE Weihua

(Sichuan Electromechanical Institute of Vocation and Technology,Panzhihua 617000,China)

Abstract:With the global IPv4 address is exhausted,the large-scale application of IPv6 has stepped onto the stage.Due to the rapid growth of business and user,how can the building IPv6 and IPv4 network security,management,operation to become the new challenges of IPv6 under the network environment.This combination of user management model used in IPv4 network,discusses the IPv6 network environment,how to network access control and management.

Keywords:IPv6;user management;identity authentication

1 引言(Introduction)

在原有的IPv4網絡中，主要面臨的用戶安全和管理問題有偽造報文、ARP攻擊、網絡身份難以界定等，很多廠商設計、開發了相關技術以解決IPv4網絡使用授權與運營、網絡行為審計、用戶攻擊行為、安全準入等問題。而IPv6建設初期是以基礎平臺搭建為重點，缺乏對用戶管理的有效手段，存在用戶資源不可控的風險(如基于IPv6網絡的用戶可控運營、IPv6非法網絡行為審計、ND攻擊與偽DHCPv6服務等造成的安全隱患、IPv4與IPv6網絡使用授權不統一等問題)。

事實上，IPv4網絡中的很多接入控制技術都可以應用到IPv6網絡中。基于TCP/IP二層的身份認證技術，基本上不做變動就可以使用；基于三層的技術一般需要做相應的改動。我們不妨參考IPv4網絡下的管理模式來看看，IPv6網絡環境下如何對網絡接入用戶進行控制和管理。

2 靜態綁定IP、MAC地址(Static binding IP, MAC

address)

在IPv4網絡中，為了防止非法用戶接入網絡，常采用靜態分配IP地址的管理模式，通過IP地址、MAC地址、接入交換機端口的綁定來實現用戶的接入控制。這種控制手段是比較嚴格的，即使盜用者修改了IP地址，也會因MAC地址不匹配而盜用失敗。且事后行為審計也較容易，由于網卡MAC地址的唯一性，可以根據MAC地址以及接入交換機的端口信息，準確的定位接入位置和該MAC地址對應的電腦終端[1]。但這種管理模式通常要求網絡接入設備具有管理能力，能夠支持IP和端口綁定，每端口成本相對較高。且這種管理手段并不能阻止局域網內的IP仿冒和違規活動，同時也增加了網管工作量，限制了用戶的移動漫游。此外，靜態IP地址分配方式還存在地址利用率低和地址回收困難的問題。因此采用此管理模式的網絡不多。

在IPv6網絡中繼續沿用此方式同樣會存在問題，因為IPv6地址相對于IPv4地址而言，在長度和易記性上復雜得多。此外，由于無線網絡和智能終端的不斷普及，IPv6網絡中，用戶常常需要進行漫游，因此也難保證使用固定的IPv6地址。基于以上原因，IPv6網絡中用戶計算機很少采用手工配置地址。雖然IPv6網絡中采用靜態分配并綁定IPv6地址、MAC方式在技術上是可行的，但由于靜態配置地址會比較麻煩，一般不予推薦。

3 動態綁定IPv6 和MAC地址(Dynamic binding of

IPv6 and MAC)

與靜態綁定相比，動態綁定在IPv4中應用更加普及。依托于DHCP Snooping技術，可以監控用戶申請IP地址時的報文交互過程，并將用戶獲取的IPv4地址、MAC和交換機端口自動做嚴格綁定，因此在防ARP、DHCP攻擊方面，比較有優勢。但這種方式在事后審計某IP地址對應的用戶時比較費力。由于MAC地址是匿名未登記的，根據IP和時間查出MAC地址也無法定位用戶。所以這種方式要實現用戶定位，必須和別的系統相配合使用[2]。例如依賴于某些網關系統，通過定時掃描IP、MAC和端口的對應關系并記錄，事后根據IP地址查找到對應的物理端口。但如果網絡中存在Hub的情況或是有大量終端設備進行漫游時，用戶一樣很難定位。因此該種方式在定位用戶時仍然有缺陷，一般需要配合其他的認證方式。

在IPv6網絡中，盡管有SLAAC和DHCPv6等技術來解決報文源地址偽造的問題。但通過分析可以發現，在協議交互過程中，終端主機始終沒有發送用戶名和密碼的機制，因此嚴格來說不能算作是一種接入認證技術，更多地是一種終端配置實現，包括地址、DNS地址、缺省網關、時效等參數。因此，在IPv6部署這種技術手段的缺陷和IPv4是類似的。

4 802.1X認證技術(802.1X authentication

technology)

802.1X是IPv4網絡中應用范圍廣、歷史悠久的網絡接入認證技術。它是一種二層技術，因此對IPv4和IPv6網絡均可使用。由于802.1X是基于用戶賬號的，因此可以支持用戶在網絡內的漫游。但802.1X在應用于IPv6時，需要考慮雙棧的情況。在IPv4、IPv6雙棧環境下，原有的IPv4用戶會升級為IPv6/IPv4的雙棧客戶端，在這種情況下，需要對原有的IPv4用戶認證系統進行升級，使得客戶端、認證服務器能夠識別一個雙棧用戶，對其進行相應的認證并執行對應的安全措施[3]。

由于802.1X是在鏈路層對用戶進行認證，當認證完成后，根據接入用戶的MAC地址進行控制。而對使用了IPv6/IPv4的雙棧用戶而言，認證客戶端不僅能夠在鏈路層執行用戶認證過程，還需要針對這個用戶將用戶的IPv6/IPv4地址上傳到服務器上，為后續針對用戶的控制、審計提供必要的支撐。因此認證客戶端需要支持對認證網卡上的雙棧地址的上傳。升級后的認證客戶端會在802.1X認證時，將客戶端認證網卡上的IPv4地址以及IPv6的全球單播地址通過接入設備上傳至認證服務器，完成對雙棧用戶的識別。

認證服務器需要能夠對客戶端上傳的IPv6/IPv4地址進行記錄，對接入用戶的日志信息進行審計。除了對用戶的接入信息進行審計之外，在認證服務器上還可以對用戶的身份信息進行綁定，能夠綁定用戶的IPv4/IPv6地址，接入端口，MAC地址等信息進行聯合綁定，提高用戶身份的可信度。

endprint

通過對802.1X認證客戶端及認證服務器升級，能夠處理雙棧用戶的網絡層信息，這樣為后續的用戶身份審計、用戶上網審計提供了有效參考。并且，在網絡中能夠對雙棧用戶的各種身份信息進行綁定，大大提高了接入用戶的安全性。

5 Web Portal認證技術(Web Portal authentication

technology)

Web Portal技術也簡稱為Web認證。未認證用戶上網時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其他信息時，必須在門戶網站進行認證，只有認證通過后才可以使用互聯網資源。用戶可以主動訪問已知的Portal認證網站，輸入用戶名和密碼進行認證，這種開始Portal認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP訪問其他外網，將被強制訪問Portal認證網站，從而開始Portal認證過程，這種方式稱作強制認證。Web Portal認證方式由于無客戶端、終端兼容性好的優點，近年來大量應用于基于接入或匯聚交換機的準入認證控制，或是企業的準入認證控制系統中。由于Web Portal是基于三層技術，因此交換機、Web Portal服務器和RADIUS服務器都需要進行相應的改造升級，以支持IPv6的Portal認證。

在IPv6環境下用戶嘗試接入網絡時，Web Portal服務器將提供給用戶IPv6 HTTP頁面，用于輸入訪問的用戶名和密碼。用戶提交密碼后，Web Portal服務器從用戶提交的用戶名和密碼，組裝后發送給認證控制設備，由認證控制設備進一步封裝為認證請求報文傳遞給RADIUS服務器，并等待返回認證結果報文。若認證結果成功，認證控制設備將開啟受控邏輯端口，允許接入用戶訪問更多的IPv6網絡資源[4]。

雖然在IPv6環境下，Web Portal認證相對于802.1X認證，在控制嚴格度上略有不足，但是其依賴于無需安裝客戶端和客戶端兼容性好的優點，更適合于在諸多校園及科研機構部署。目前以清華大學、山東大學為領導的《基于Web的以太網接入身份認證技術規范》，就是以Web Portal技術為核心指導思想的網絡用戶接入規范，為諸多高校的IPv6網絡建設指明了一條可以成功復制的技術方向。

6 結論(Conclusion)

隨著IPv6新技術的高速發展，新網絡環境下的用戶接入控制將成為安全問題的核心。無論是通過綁定方式還是接入身份認證方式，都有各自的適用范圍。眾所周知，用戶身份認證是建設安全可信網絡的前提條件，真實可信的網絡身份認證體系一方面能夠讓惡意者在做有害行為之前有所顧忌，防微杜漸；另一方面也可以讓網絡管理者在安全事件發生后能準確及時地找到肇事者，在一定程度上防止安全事件的再次發生。因此，802.1X認證技術和基于Web Portal的用戶身份認證技術，在IPv6網絡下提供了更好的易用性和兼容性，將安全性和易用性進行有機結合，不僅大大降低了用戶接受認證的阻力，也更好地滿足了網絡的身份準入安全和網絡易管理易部署的要求[5]。

參考文獻(References)

[1] 李哲夫.基于IPv6的校園網用戶管理系統設計[J].微計算機應用,2011(4):34-38.

[2] 柏強,許譯文,王應求.淺析基于IPv6環境下的校園網絡管理與應用[J].科技信息,2012(20):17.

[3] 唐穎.基于IPv6協議的校園網的構建和設計[J].信息系統工程,2012(4):31-32.

[4] 余金城,等.下一代互聯網中基于Portal的身份認證技術研究與實現[R].中國計算機用戶協會網絡應用分會2010年網絡新技術與應用研討會,2010.

[5] 羅飛.論高校數字校園建設中身份認證方式的選擇[J].科學咨詢,2012(22):59-60.

作者簡介：

何衛華(1976-)，男，本科，講師.研究領域：網絡技術.

endprint