基于層次移動(dòng)IPv6接入認證設計與實(shí)現
2008/05/21
摘要 在移動(dòng)IPv6和層次移動(dòng)IPv6中,移動(dòng)節點(diǎn)通過(guò)無(wú)線(xiàn)接入點(diǎn)(AP)接入網(wǎng)絡(luò )并且自動(dòng)配置地址,缺乏必要的安全認證和地址管理機制。針對這一問(wèn)題,文章結合IPv6的動(dòng)態(tài)主機配置協(xié)議(DHCPv6)和認證、授權、計費(AAA,Authentication、Authorization、Accounting)協(xié)議設計出一套安全可靠的接入認證機制,并給出了實(shí)驗結果,結果表明該接入認證方案能夠有效實(shí)現對移動(dòng)節點(diǎn)的合法性進(jìn)行驗證,認證成功的同時(shí)也為移動(dòng)節點(diǎn)(MN)配置了合法IP地址,能夠滿(mǎn)足實(shí)際應用的需要。
選項標識定義為OPTION_AUTH_FAIL,類(lèi)型為46,占2個(gè)字節。
圖1 接入認證時(shí)序圖
3.消息流程
接入認證時(shí)序如圖1所示,消息流程如下。
圖2 DHCPv6接入認證消息流程圖
2.AAA交互過(guò)程
當DHCPv6服務(wù)器調用子進(jìn)程執行AAA客戶(hù)端程序后,AAA客戶(hù)端將把從MN傳過(guò)來(lái)的密碼和用戶(hù)名添加到認證請求選項中,向AAAL進(jìn)行認證。AAAL將收到的消息轉發(fā)給AAAH服務(wù)器,AAAH收到認證請求后進(jìn)行認證。如用戶(hù)名和密碼正確,則返回Accecpt響應消息,標志認證成功;如用戶(hù)名或者密碼錯誤,則返回Reject響應消息,標志認證失敗。AAAL收到認證回復消息后記錄認證信息,下次認證時(shí)只需詢(xún)問(wèn)AAAL,減少認證步驟。
AAA客戶(hù)端對收到的認證回復消息進(jìn)行判斷,通過(guò)創(chuàng )建消息隊列,將認證回復中的認證結果標志傳遞給DHCPv6服務(wù)器。
3.包過(guò)濾
在接入路由器上安裝包過(guò)濾器軟件,它工作在網(wǎng)絡(luò )層,根據ACL列表對每個(gè)通過(guò)的包進(jìn)行訪(fǎng)問(wèn)控制,列表中維護IP地址和MAC地址綁定選項,防止合法IP地址被偽造。ACL列表的更新由DHCPv6服務(wù)器完成,認證成功后將相應的IP地址和MAC地址添加到ACL列表中,當DHCPv6分配的地址過(guò)期后負責刪除該綁定選項。接入認證開(kāi)始只允許DHCPv6協(xié)議和AAA協(xié)議的消息包通過(guò),認證成功后只允許綁定列表中維護的IP地址消息包通過(guò),有效地控制了假冒攻擊。
測試結果
實(shí)驗拓撲原理圖如3所示:
圖3 實(shí)驗拓撲圖
首先修改層次移動(dòng)IP的地址配置機制,使其采用有狀態(tài)地址配置,在家鄉代理(HA)、接入路由器1(AR1)、AR2和AR3安裝dibbler軟件和包過(guò)濾軟件,在服務(wù)器上安裝RADIUS軟件。
分別在MN上啟動(dòng)HMIPv6程序,在HA上啟動(dòng)HMIPv6程序和DHCPv6服務(wù)器程序,在A(yíng)R1、AR2和AR3上啟動(dòng)DHCPv6服務(wù)器端程序和路由通告協(xié)議。在服務(wù)器上啟動(dòng)AAA服務(wù)器端程序。通過(guò)手動(dòng)修改ESSID在家鄉與不同的MAP域之間進(jìn)行切換,完成在切換過(guò)程的接入認證過(guò)程。
實(shí)驗完成了從家鄉到MAP1中的AR1、AR2和MAP2中的AR3的切換過(guò)程的接入認證,以及從MAP1到MAP2切換的接入認證過(guò)程。在切換的過(guò)程中MN觸發(fā)接入認證過(guò)程,只有使用正確的用戶(hù)名和密碼才能完成接入,獲得合法的IP地址。切換完成后采用該地址作為轉交地址進(jìn)行綁定注冊和認證過(guò)程。如果用戶(hù)采用了錯誤的用戶(hù)名或者密碼,則在切換過(guò)程中不能獲得IP地址,接入認證失敗,不能完成切換過(guò)程,MN被拒絕加入相應的網(wǎng)絡(luò )。
結果證明,完成接入認證過(guò)程僅需要2s左右,這是完成DHCPv6協(xié)議重復地址檢測過(guò)程和AAA協(xié)議信息交互所需的時(shí)間,沒(méi)有增加附加的延時(shí),并且在認證成功的同時(shí)給MN分配了一個(gè)合法的IP地址作為在線(xiàn)轉交地址。
結束語(yǔ)
本文結合HMIPv6、DHCPv6和AAA協(xié)議實(shí)現了對MN在不同的網(wǎng)絡(luò )間切換的接入認證過(guò)程,對用戶(hù)提供了可靠的安全保證,解決了無(wú)線(xiàn)接入存在的安全問(wèn)題;同時(shí)便于運營(yíng)商對接入用戶(hù)的管理和維護;采用DHCPv6作為接入認證方式還可以提供對地址的有效管理和附加參數的配置(如DNS等)。
下一階段主要是考慮如何縮短認證過(guò)程時(shí)間,實(shí)現無(wú)縫切換,并且考慮在雙棧下實(shí)現接入認證過(guò)程,這些也是未來(lái)研究的熱點(diǎn)和重點(diǎn)。
參考文獻
1D Johnson,C Perkins,J Arkko.Mobility Support in IPv6.RFC
3775,June 2004.
2H Soliman,C Castelluccia,K E1 Malki,et a1.Hierarchical
Mobile IPv6 Mobility Management(HMIPv6).RFC 4140,August 2005.
3J Bound,B Volz,T Lemon,et al. Dynamic Host Configuration
Protocol for IPv6(DHCPv6).RFC 3315,July 2003.
4C Rigney,A Rubens,W Simpson,S.Willens.Remote Authentication
Dial In User Service.RFC 2865.June 2000.
5A Patel,K Leung,M Khalil,H Akhtar. Authentication Protocol
for Mobile IPv6.RFC 4285.January 2006.
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
| 下一代媒體網(wǎng)關(guān)系統架構及實(shí)現 2008-05-15 |
| 基于電信網(wǎng)的家庭網(wǎng)關(guān) 2008-05-08 |
| 業(yè)務(wù)網(wǎng)承載網(wǎng)和終端 影響未來(lái)網(wǎng)絡(luò )發(fā)展 2008-04-28 |
| NGN分層網(wǎng)絡(luò )安全方案 2008-04-23 |
| 透析基于IP協(xié)議的網(wǎng)絡(luò )演進(jìn)相關(guān)技術(shù) 2008-04-15 |