摘要：随着全球IPv4地址的告罄，IPv6的大规模应用已经走上舞台。由于业务与用户的迅猛增长，如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营的模式成为IPv6网络环境下新的挑战。本文结合在IPv4网络中使用的用户管理模式，探讨了IPv6网络环境下如何对网络接入用户进行控制和管理。

　　关键词：IPv6；用户管理；身份认证

　　中图分类号：TP393.0 文献标识码：A
　　

　　1 引言(Introduction)

　　在原有的IPv4网络中，主要面临的用户安全和管理问题有伪造报文、ARP攻击、网络身份难以界定等，很多厂商设计、开发了相关技术以解决IPv4网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6建设初期是以基础平台搭建为重点，缺乏对用户管理的有效手段，存在用户资源不可控的风险(如基于IPv6网络的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一等问题)。

　　事实上，IPv4网络中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术，基本上不做变动就可以使用；基于三层的技术一般需要做相应的改动。我们不妨参考IPv4网络下的管理模式来看看，IPv6网络环境下如何对网络接入用户进行控制和管理。

　　2 静态绑定IP、MAC地址(Static binding IP, MAC

　　 address)

　　在IPv4网络中，为了防止非法用户接入网络，常采用静态分配IP地址的管理模式，通过IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段是比较严格的，即使盗用者修改了IP地址，也会因MAC地址不匹配而盗用失败。且事后行为审计也较容易，由于网卡MAC地址的唯一性，可以根据MAC地址以及接入交换机的端口信息，准确的定位接入位置和该MAC地址对应的电脑终端[1]。但这种管理模式通常要求网络接入设备具有管理能力，能够支持IP和端口绑定，每端口成本相对较高。且这种管理手段并不能阻止局域网内的IP仿冒和违规活动，同时也增加了网管工作量，限制了用户的移动漫游。此外，静态IP地址分配方式还存在地址利用率低和地址回收困难的问题。因此采用此管理模式的网络不多。

　　在IPv6网络中继续沿用此方式同样会存在问题，因为IPv6地址相对于IPv4地址而言，在长度和易记性上复杂得多。此外，由于无线网络和智能终端的不断普及，IPv6网络中，用户常常需要进行漫游，因此也难保证使用固定的IPv6地址。基于以上原因，IPv6网络中用户计算机很少采用手工配置地址。虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的，但由于静态配置地址会比较麻烦，一般不予推荐。

　　3 动态绑定IPv6 和MAC地址(Dynamic binding of

　　 IPv6 and MAC)

　　与静态绑定相比，动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术，可以监控用户申请IP地址时的报文交互过程，并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定，因此在防ARP、DHCP攻击方面，比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的，根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位，必须和别的系统相配合使用[2]。例如依赖于某些网关系统，通过定时扫描IP、MAC和端口的对应关系并记录，事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时，用户一样很难定位。因此该种方式在定位用户时仍然有缺陷，一般需要配合其他的认证方式。

　　在IPv6网络中，尽管有SLAAC和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现，在协议交互过程中，终端主机始终没有发送用户名和密码的机制，因此严格来说不能算作是一种接入认证技术，更多地是一种终端配置实现，包括地址、DNS地址、缺省网关、时效等参数。因此，在IPv6部署这种技术手段的缺陷和IPv4是类似的。

　　4 802.1X认证技术(802.1X authentication

　　 technology)

　　802.1X是IPv4网络中应用范围广、历史悠久的网络接入认证技术。它是一种二层技术，因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的，因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时，需要考虑双栈的情况。在IPv4、IPv6双栈环境下，原有的IPv4用户会升级为IPv6/IPv4的双栈客户端，在这种情况下，需要对原有的IPv4用户认证系统进行升级，使得客户端、认证服务器能够识别一个双栈用户，对其进行相应的认证并执行对应的安全措施[3]。