浅谈IPv6网络下的用户管理——何卫华(范文).docx

浅谈IPv6网络下的用户管理何卫华（四川机电职业技术学院，四川 攀枝花 617000）摘 要：随着全球IPv4地址的告罄，IPv6的大规模应用已经走上舞台。由于业务与用户的迅猛增长，如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营成为IPv6网络环境下新的挑战。本文结合在IPv4网络中使用的用户管理模式，探讨了IPv6网络环境下如何对网络接入用户进行控制和管理。关键词：IPv6；用户管理；身份认证中图分类号：TP393.0 文献标识码：AUser management of IPv6 networkHE Weihua(Sichuan Electromechanical Institute of Vocation and Technology, Panzhihua,617000,china)Abstract: with the global IPv4 address is exhausted, the large-scale application of IPv6 has stepped onto the stage. Due to the rapid growth of business and user, how can the building IPv6 and IPv4 network security, management, operation to become the new challenges of IPv6 under the network environment. This combination of user management model used in IPv4 network, discusses the IPv6 network environment, how to network access control and management.Keywords: IPv6; user management;identity authentication1 引言（Introduction）在原有的IPv4网络中，主要面临的用户安全和管理问题有伪造报文、ARP攻击、网络身份难以界定等，很多厂商设计、开发了相关技术以解决IPv4网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6建设初期是以基础平台搭建为重点，缺乏对用户管理的有效手段，存在用户资源不可控的风险（如基于IPv6网络的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一等问题）。事实上，IPv4网络的中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术，基本上不做变动就可以使用；基于三层的技术一般需要做相应的改动。我们不妨参考IPv4网络下的管理模式来看看，IPv6网络环境下如何对网络接入用户进行控制和管理。2 静态绑定IP、MAC地址(Static binding IP, MAC address)在IPv4网络中，为了防止非法用户接入网络，常采用静态分配IP地址的管理模式，通过IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段是比较严格的，即使盗用者修改了IP地址，也会因MAC地址不匹配而盗用失败。且事后行为审计也较容易，由于网卡MAC地址的唯一性，可以根据MAC地址以及接入交换机的端口信息，准确的定位接入位置和该MAC地址对应的电脑终端1。但这种管理模式通常要求网络接入设备具有管理能力，能够支持IP和端口绑定，每端口成本相对较高。且这种管理手段并不能阻止局域网内的IP仿冒和违规活动，同时也增加了网管工作量，限制了用户的移动漫游。此外，静态IP地址分配方式还存在地址利用率低和地址回收困难的问题。因此采用此管理模式的网络不多。在IPv6网络中继续沿用此方式同样会存在问题，因为IPv6地址相对于IPv4地址而言，在长度和易记性上复杂得多。此外，由于无线网络和智能终端的不断普及，IPv6网络中，用户常常需要进行漫游，因此也难保证使用固定的IPv6地址。基于以上原因，IPv6网络中用户计算机很少采用手工配置地址。虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的，但由于静态配置地址会比较麻烦，一般不予推荐。3 动态绑定IPv6 和MAC地址(Dynamic binding of IPv6 and MAC)与静态绑定相比，动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术，可以监控用户申请IP地址时的报文交互过程，并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定，因此在防ARP、DHCP攻击方面，比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的，根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位，必须和别的系统相配合使用2。例如依赖于某些网关系统，通过定时扫描IP、MAC和端口的对应关系并记录，事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时，用户一样很难定位。因此该种方式在定位用户时仍然有缺陷，一般需要配合其他的认证方式。在IPv6网络中，尽管有SLAAC和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现，在协议交互过程中，终端主机始终没有发送用户名和密码的机制，因此严格来说不能算作是一种接入认证技术，更多地是一种终端配置实现，包括地址、DNS地址、缺省网关、时效等参数。因此，在IPv6部署这种技术手段的缺陷和IPv4是类似的。4802.1X认证技术(802.1X authentication technology)802.1X是IPv4网络中应用范围广、历史悠久的网络接入认证技术。它是一种二层技术，因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的，因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时，需要考虑双栈的情况。在IPv4、IPv6双栈环境下，原有的IPv4用户会升级为IPv6/IPv4的双栈客户端，在这种情况下，需要对原有的IPv4用户认证系统进行升级，使得客户端、认证服务器能够识别一个双栈用户，对其进行相应的认证并执行对应的安全措施3。由于802.1X是在链路层对用户进行认证，当认证完成后，根据接入用户的MAC地址进行控制。而对使用了IPv6/IPv4的双栈用户而言，认证客户端不仅能够在链路层执行用户认证过程，还需要针对这个用户将用户的IPv6/IPv4地址上传到服务器上，为后续针对用户的控制、审计提供必要的支撑。因此认证客户端需要支持对认证网卡上的双栈地址的上传。升级后的认证客户端会在802.1X认证时，将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器，完成对双栈用户的识别。认证服务器需要能够对客户端上传的IPv6/IPv4地址进行记录，对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外，在认证服务器上还可以对用户的身份信息进行绑定，能够绑定用户的IPv4/IPv6地址，接入端口，MAC地址等信息进行联合绑定，提高用户身份的可信度。通过对802.1X认证客户端及认证服务器升级，能够处理双栈用户的网络层信息，这样为后续的用户身份审计，用户上网审计提供了有效参考。并且，在网络中能够对双栈用户的各种身份信息进行绑定，大大提高了接入用户的安全性。5Web Portal认证技术(Web Portal authentication technology)Web Portal技术也简称为Web认证。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。Web Portal认证方式由于无客户端、终端兼容性好的优点，近年来大量应用于基于接入或汇聚交换机的准入认证控制，或是企业的准入认证控制系统中。由于Web Portal是基于三层技术，因此交换机、Web Portal服务器和RADIUS服务器都需要进行相应的改造升级，以支持IPv6的Portal认证。在IPv6环境下用户尝试接入网络时，Web Portal服务器将提供给用户IPv6 HTTP页面，用于输入访问的用户名和密码。用户提交密码后，Web Portal服务器从用户提交的用户名和密码，组装后发送给认证控制设备，由认证控制设备进一步封装为认证请求报文传递给RADIUS服务器，并等待返回认证结果报文。若认证结果成功，认证控制设备将开启受控逻辑端口，允许接入用户访问更多的IPv6网络资源4。虽然在IPv6环境下，Web Portal认证相对于802.1X认证，在控制严格度上略有不足，但是其依赖于无需安装客户端和客户端兼容性好的优点，更适合于在诸多校园及科研机构部署。目前以清华大学、山东大学为领导的基于Web的以太网接入身份认证技术规范，就是以Web Portal技术为核心指导思想的网络用户接入规范，为诸多高校的IPv6网络建设指明了一条可以成功复制的技术方向。6 结语(Conclusion)随着IPv6新技术的高速发展，新网络环境下的用户接入控制将成为安全问题的核心。无论是通过绑定方式还是接入身份认证方式，都有各自的适用范围。众所周知，用户身份认证是建设安全可信网络的前提条件，真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌，防微杜渐；另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者，在一定程度上防止安全事件的再次发生。因此，802.1X认证技术和基于Web Portal的用户身份认证技术，在IPv6网络下提供了更好的易用性和兼容性，将安全性和易用性进行有机结合，不仅大大降低了用户接受认证的阻力，也更好地满足了网络的身份准入安全和网络易管理易部署的要求5。参考文献（References）1李哲夫.基于IPv6的校园网用户管理系统设计J.微计算机应用,2011(4):34-38.2柏强 许译文 王应求.浅析基于IPv6环境下的校