IPV6网络下的接入用户管理方法研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇IPV6网络下的接入用户管理方法研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:随着IPv4地址的耗尽,由IPv4向ipv6的全面转换变成一个现实发生的事情,IPv6网络下同样面临用户安全和管理问题,本文参考IPv4分析了IPv6网络下接入用户进行控制和管理的四种可行的技术。
关键词:IPv6;接入用户管理
中图分类号:TN929.5
2011年2月,IPv4地址最终分发完毕,而我国网民的数量和包括物联网在内的各种网络应用的还在快速增加,所以由IPv4向IPv6的全面转换正在加速进行中。在IPv4网络中,主要面临的用户安全和管理问题有伪造报文、ARP攻击、网络身份难以界定等,很多厂商设计开发了相关技术以解决IPv4网络使用授权、网络行为审计和用户攻击行为等问题。而IPv6建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在用户资源不可控的风险,如基于IPv6网络的用户可控运营、IPv6非法网络行为审计和伪DHCPv6服务等问题。如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营成为IPv6网络环境下新的挑战。
我们参考IPv4网络下的管理模式来分析IPv6网络环境下如何对网络接入用户进行控制和管理。事实上,IPv4网络的中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术,基本上不做变动就可以使用;基于三层的技术一般需要做相应的改动。下面我们提出四种接入用户管理技术:
1 绑定静态IP地址、MAC地址和交换机端口
在IPv4网络中,可通过静态IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段简单实用,且事后行为审计也较容易,可以根据MAC地址以及接入交换机的端口信息,准确的定位接入位置和该MAC地址对应的电脑终端。但这种管理模式并不能阻止局域网内的IP仿冒,同时大大增加了网管工作量,限制了用户的移动漫游。此外,静态IP地址分配方式还存在地址利用率低和地址回收困难的问题,因此采用此管理模式的网络较少。
在IPv6网络中继续沿用此方式同样会存在问题,因为IPv6地址相对于IPv4地址而言,在长度和易记性上复杂得多。此外,由于无线网络和智能终端的不断普及,IPv6网络中,用户常常需要进行漫游,也不适合使用固定的IPv6地址。因此IPv6网络中用户计算机很少采用静态地址。所以虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的,但一般不推荐。
2 动态绑定IPv6 和MAC地址
与静态绑定相比,动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术,可以监控用户申请IP地址时的报文交互过程,并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定,因此在防ARP、DHCP攻击方面,比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的,根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位,必须和别的系统相配合使用。例如依赖于某些网关系统,通过定时扫描IP、MAC和端口的对应关系并记录,事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时,用户一样很难定位。因此该种方式在定位用户时仍然有缺陷,一般需要配合其他的认证方式。
在IPv6网络中,尽管有SLAAC(Stateless address auto configuration)和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现,在协议交互过程中,终端主机始终没有发送用户名和密码的机制,因此严格来说不能算作是一种接入认证技术,更多地是一种终端配置实现,包括地址、DNS地址、缺省网关、时效等参数。因此,在IPv6部署这种技术手段的缺陷和IPv4是类似的。
3 802.1X认证技术
802.1X是一种二层技术,因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的,因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时,需要考虑双栈的情况,需要对原有的IPv4用户认证系统进行升级,使得客户端、认证服务器能够识别一个双栈用户,对其进行相应的认证并执行对应的安全措施。升级后的认证客户端应该能在802.1X认证时,将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器,完成对双栈用户的识别。认证服务器需要能够对客户端上传的IPv6/IPv4地址进行记录,对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外,在认证服务器上还可以对用户的身份信息进行绑定,能够绑定用户的IPv4/IPv6地址、接入端口和MAC地址等信息进行联合绑定,提高用户身份的可信度。通过对802.1X认证客户端及认证服务器升级,能够处理双栈用户的网络层信息,为后续的用户身份审计、上网审计提供了有效参考。
4 Web Portal认证技术
Web Portal技术也简称为Web认证。未认证用户上网时,设备强制用户登录到特定站点,用户可以免认证访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。用户也可以主动访问已知的Portal认证网站进行认证;也可以输入任意合法网址,然后被强制定向到Portal认证网站进行认证。Web Portal认证方式由于无客户端、终端兼容性好的优点,大量应用于基于接入或汇聚交换机的准入认证控制,或是企业的准入认证控制系统中。由于Web Portal是基于三层技术,因此交换机、Web Portal服务器和RADIUS服务器都需要进行相应的改造升级,以支持IPv6的Portal认证。
在IPv6环境下用户尝试接入网络时,Web Portal服务器将提供给用户IPv6 HTTP页面,用于输入访问的用户名和密码。用户提交密码后,Web Portal服务器从用户提交的用户名和密码,组装后发送给认证控制设备,由认证控制设备进一步封装为认证请求报文传递给RADIUS服务器,并等待返回认证结果报文。若认证结果成功,认证控制设备将开启受控逻辑端口,允许接入用户访问更多的IPv6网络资源。
虽然在IPv6环境下,Web Portal认证相对于802.1X认证,在控制严格度上略有不足,但是由于其无需安装客户端和客户端兼容性好的优点,更适合于在诸多校园及科研机构部署。
5 结束语
随着IPv6新技术的高速发展,新网络环境下的用户接入控制将成为安全问题的核心。无论是通过绑定方式还是接入身份认证方式,都有各自的适用范围。用户身份认证是建设安全可信网络的前提条件,真实可信的网络身份认证体系一方面能对恶意者有威慑,减少有害行为发生的概率;另一方面也可以在安全事件发生后能准确及时地找到肇事者。因此,802.1X认证技术和基于Web Portal的用户身份认证技术,在IPv6网络下提供了更好的易用性和兼容性,将安全性和易用性进行有机结合,不仅大大降低了用户接受认证的阻力,也更好地满足了网络的身份准入安全和网络易管理易部署的要求。
参考文献:
[1]杨慧谊.基于802.1x协议网络认证技术研究与实现[D].电子科技大学,2013.
[2]任治洪.局域网Portal认证研究及应用[J].甘肃科技,2012(12).
作者简介:徐斌(1978.09-),男,浙江金华人,硕士研究生,讲师,信息管理中心副主任,研究方向:计算机网络技术。
作者单位:南京铁道职业技术学院信息管理中心,南京 210015