由于802.1X是在链路层对用户进行认证，当认证完成后，根据接入用户的MAC地址进行控制。而对使用了IPv6/IPv4的双栈用户而言，认证客户端不仅能够在链路层执行用户认证过程，还需要针对这个用户将用户的IPv6/IPv4地址上传到服务器上，为后续针对用户的控制、审计提供必要的支撑。因此认证客户端需要支持对认证网卡上的双栈地址的上传。升级后的认证客户端会在802.1X认证时，将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器，完成对双栈用户的识别。

　　认证服务器需要能够对客户端上传的IPv6/IPv4地址进行记录，对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外，在认证服务器上还可以对用户的身份信息进行绑定，能够绑定用户的IPv4/IPv6地址，接入端口，MAC地址等信息进行联合绑定，提高用户身份的可信度。

　　通过对802.1X认证客户端及认证服务器升级，能够处理双栈用户的网络层信息，这样为后续的用户身份审计、用户上网审计提供了有效参考。并且，在网络中能够对双栈用户的各种身份信息进行绑定，大大提高了接入用户的安全性。

　　5 Web Portal认证技术(Web Portal authentication

　　 technology)

　　Web Portal技术也简称为Web认证。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。Web Portal认证方式由于无客户端、终端兼容性好的优点，近年来大量应用于基于接入或汇聚交换机的准入认证控制，或是企业的准入认证控制系统中。由于Web Portal是基于三层技术，因此交换机、Web Portal服务器和RADIUS服务器都需要进行相应的改造升级，以支持IPv6的Portal认证。

　　在IPv6环境下用户尝试接入网络时，Web Portal服务器将提供给用户IPv6 HTTP页面，用于输入访问的用户名和密码。用户提交密码后，Web Portal服务器从用户提交的用户名和密码，组装后发送给认证控制设备，由认证控制设备进一步封装为认证请求报文传递给RADIUS服务器，并等待返回认证结果报文。若认证结果成功，认证控制设备将开启受控逻辑端口，允许接入用户访问更多的IPv6网络资源[4]。

　　虽然在IPv6环境下，Web Portal认证相对于802.1X认证，在控制严格度上略有不足，但是其依赖于无需安装客户端和客户端兼容性好的优点，更适合于在诸多校园及科研机构部署。目前以清华大学、山东大学为领导的《基于Web的以太网接入身份认证技术规范》，就是以Web Portal技术为核心指导思想的网络用户接入规范，为诸多高校的IPv6网络建设指明了一条可以成功复制的技术方向。

　　6 结论(Conclusion)

　　随着IPv6新技术的高速发展，新网络环境下的用户接入控制将成为安全问题的核心。无论是通过绑定方式还是接入身份认证方式，都有各自的适用范围。众所周知，用户身份认证是建设安全可信网络的前提条件，真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌，防微杜渐；另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者，在一定程度上防止安全事件的再次发生。因此，802.1X认证技术和基于Web Portal的用户身份认证技术，在IPv6网络下提供了更好的易用性和兼容性，将安全性和易用性进行有机结合，不仅大大降低了用户接受认证的阻力，也更好地满足了网络的身份准入安全和网络易管理易部署的要求[5]。

　　参考文献(References)

　　[1] 李哲夫.基于IPv6的校园网用户管理系统设计[J].微计算机应用,2011(4):34-38.

　　[2] 柏强,许译文,王应求.浅析基于IPv6环境下的校园网络管理与应用[J].科技信息,2012(20):17.

　　[3] 唐颖.基于IPv6协议的校园网的构建和设计[J].信息系统工程,2012(4):31-32.

　　[4] 余金城,等.下一代互联网中基于Portal的身份认证技术研究与实现[R].中国计算机用户协会网络应用分会2010年网络新技术与应用研讨会,2010.

　　[5] 罗飞.论高校数字校园建设中身份认证方式的选择[J].科学咨询,2012(22):59-60.