0、引言
随着互连网络的飞速发展和便携式移动终端的不断涌现,用户希望通过个人终端随时随地的加入到互联网中,方便快捷地获取自己所需的信息,移动IPv6[1]应运而生,实现了无线局域网中的跨子网漫游和切换等功能。然而无线局域网的引入也带来了相应的安全隐患问题,比如对移动节点(MN)的接入缺少必要的身份验证。本文基于此提出了层次移动IPv6的接入认证设计方案和实现过程,为MN在网络间的切换提供可靠的身份验证。
本文是在基于内核版本为2.6.8.1的Linux平台上实现了层次移动IPv6[2](HMIPv6)的接入认证机制,采用DHCPv6[3]协议和AAA协议[4](认证、授权、计费)相结合完成接入认证过程,认证成功的同时为MN分配一个合法的IP地址。
1、接入认证方式
在大多数情况下,移动IPv6应用于无线环境中。与有线网络相比,攻击者可以不受物理空间的限制,在网络的任意一个角落通过无线电波发起诸如重放攻击和其他主动攻击,而且由于无线网络的特殊性使得攻击更容易实施。另外MN切换到外地网络时,所在的网络不一定是可信的网络,更容易受到诸如窃听、主动重放等攻击,因此无线接入的安全问题显得尤为突出。下面先对目前常用的接入认证机制进行比较,然后提出本文的认证机制。
1)PPPoE认证:以太网上点对点协议(PPP over Ethernet)把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。 PPPoE在发现阶段会产生大量广播流量,对网络性能产生很大的影响,用户端需要安装专门的软件。
2)Web认证:Web认证最初是一种业务类型的认证,通过启动一个Web页面输入用户名/密码,实现用户认证。Web认证目前已经成为运营商网络平台的认证方式,通过Web页面实现对用户是否有使用网络权限的认证。缺点:用户连接性差;易用性不够好;IP地址的分配在用户认证前;会造成地址的浪费。
3)802.1x认证:IEEE 802.1x称为基于二层端口的访问控制协议,能够实现认证与业务的分离。如果简单地使用标准协议,容易造成如中间人攻击、拒绝服务攻击、网络接入盗用等安全隐患。用标准802.1x认证在认证通过后的安全性是个很大问题,而且无法满足上述网络接入管理控制的需求。
本方案认证机制在比较上述几种认证机制的优缺点的基础上,根据层次移动IPv6的网络特性和运行需求,采用IPv6的动态主机配置协议(DHCPv6)结合AAA协议来完成AAA认证和地址分配过程。该机制工作在网络层,不依赖链路层协议,有利于移动节点用多种方式接入网络,具有兼容性好、利于向高层协议扩展、实现简单、容易控制、与移动IP结合性好等优点。
2、层次移动IP接入认证设计
2.1 层次移动IPv6
层次移动IPv6引入移动锚点(MAP),作用如同一个本地家乡代理,它将代表其所服务的移动节点接收所有数据包,并将这些数据包封装后直接转发至移动节点的当前地址。如果移动节点在本地MAP域中更改其当前地址(即在线转交地址(LCOA)),只需在相应的MAP注册新的LCOA。因此,移动节点在对端节点或家乡代理注册本地转交地址(RCOA)后,如果移动节点在一个MAP域中移动,则LCOA不发生改变。这使移动节点的移动对于与其通信的对端节点是透明的。
在无线链路情况下,层次移动IPv6可以减少通过空中接口发送到通信对端或家乡代理的消息数目。移动锚点的引入有利于移动IPv6协议减少与外部网络之间的移动信令传输。
2.2 消息格式
本方案采用DHCPv6协议作为接入认证方式,在DHCPv6 Request消息中添加用户名和密码选项来传送认证信息。用户名选项格式定义如下:
选项标识定义为OPTION_CLIENT_NAI,类型为44,占2个字节。
密码选项格式定义如下:
选项标识定义为OPTION_CLIENT_PASS-WORD,类型为45,占2个字节。
如果认证失败,则在reply消息中添加认证失败信息选项,格式定义如下:
选项标识定义为OPTION_AUTH_FAIL,类型为46,占2个字节。
图1 接入认证时序图
2.3 消息流程
接入认证时序如图1所示,消息流程如下。
1)当MN加入到一个网络中时,接收当地路由器发出的路由通告(RA)。
2)MN触发DHCPv6客户端发送DHCP Solicit消息去发现DHCPv6服务器。
3)当服务器收到请求消息后,构造相应的Advertisement消息发给DHCPv6客户端。
4)DHCPv6客户端收到响应消息发出DHCP Request消息,在消息选项中添加新的用户名和密码密文选项。
5)DHCPv6服务器收到消息后,从中提取用户名和密文后,对密文进行解密,发送AAA认证请求消息到本地AAA服务器(AA AL)。
6)AAAL,收到认证请求消息后将其转发到家乡AAA服务器(AAAH)。
7)AAAH收到认证请求消息后,验证用户名和密码。返回认证回复消息。
8)AAAL,服务器将收到的认证回复消息转发到AAA客户端。
9)AAA客户端对收到的认证回复进行处理,构造Reply消息响应客户端请求,
10)MN根据收到的Reply消息进行判断,至此整个认证过程完成。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IP地址0.0.0.0能做什么?
IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。
-
如何避免IPv6“友邻发现”威胁?
IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。