IPV6网络下接入用户管理方法研究.docVIP

IPV6网络下接入用户管理方法研究 　　摘 要：随着IPv4地址的耗尽，由IPv4向IPv6的全面转换变成一个现实发生的事情，IPv6网络下同样面临用户安全和管理问题，本文参考IPv4分析了IPv6网络下接入用户进行控制和管理的四种可行的技术。 　　关键词：IPv6；接入用户管理 　　中图分类号：TN929.5 　　2011年2月，IPv4地址最终分发完毕，而我国网民的数量和包括物联网在内的各种网络应用的还在快速增加，所以由IPv4向IPv6的全面转换正在加速进行中。在IPv4网络中，主要面临的用户安全和管理问题有伪造报文、ARP攻击、网络身份难以界定等，很多厂商设计开发了相关技术以解决IPv4网络使用授权、网络行为审计和用户攻击行为等问题。而IPv6建设初期是以基础平台搭建为重点，缺乏对用户管理的有效手段，存在用户资源不可控的风险，如基于IPv6网络的用户可控运营、IPv6非法网络行为审计和伪DHCPv6服务等问题。如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营成为IPv6网络环境下新的挑战。 　　我们参考IPv4网络下的管理模式来分析IPv6网络环境下如何对网络接入用户进行控制和管理。事实上，IPv4网络的中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术，基本上不做变动就可以使用；基于三层的技术一般需要做相应的改动。下面我们提出四种接入用户管理技术： 　　1 绑定静态IP地址、MAC地址和交换机端口 　　在IPv4网络中，可通过静态IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段简单实用，且事后行为审计也较容易，可以根据MAC地址以及接入交换机的端口信息，准确的定位接入位置和该MAC地址对应的电脑终端。但这种管理模式并不能阻止局域网内的IP仿冒，同时大大增加了网管工作量，限制了用户的移动漫游。此外，静态IP地址分配方式还存在地址利用率低和地址回收困难的问题，因此采用此管理模式的网络较少。 　　在IPv6网络中继续沿用此方式同样会存在问题，因为IPv6地址相对于IPv4地址而言，在长度和易记性上复杂得多。此外，由于无线网络和智能终端的不断普及，IPv6网络中，用户常常需要进行漫游，也不适合使用固定的IPv6地址。因此IPv6网络中用户计算机很少采用静态地址。所以虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的，但一般不推荐。 　　2 动态绑定IPv6 和MAC地址 　　与静态绑定相比，动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术，可以监控用户申请IP地址时的报文交互过程，并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定，因此在防ARP、DHCP攻击方面，比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的，根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位，必须和别的系统相配合使用。例如依赖于某些网关系统，通过定时扫描IP、MAC和端口的对应关系并记录，事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时，用户一样很难定位。因此该种方式在定位用户时仍然有缺陷，一般需要配合其他的认证方式。 　　在IPv6网络中，尽管有SLAAC（Stateless address auto configuration）和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现，在协议交互过程中，终端主机始终没有发送用户名和密码的机制，因此严格来说不能算作是一种接入认证技术，更多地是一种终端配置实现，包括地址、DNS地址、缺省网关、时效等参数。因此，在IPv6部署这种技术手段的缺陷和IPv4是类似的。 　　3 802.1X认证技术 　　802.1X是一种二层技术，因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的，因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时，需要考虑双栈的情况，需要对原有的IPv4用户认证系统进行升级，使得客户端、认证服务器能够识别一个双栈用户，对其进行相应的认证并执行对应的安全措施。升级后的认证客户端应该能在802.1X认证时，将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器，完成对双栈用户的识别。认证服务器需要能够对客户端上传的IPv6/IPv4地址进行记录，对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外，在认证服务器上还可以对用户的身份信息进行绑定，能够绑定用户的IPv4/IPv6地址、接入端口和MAC地址等信息进行联合绑定，提高用户身份的可信度。通过对802.1X认证客户端及