基于層次移動(dòng)IPv6接入認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)

摘要　在移動(dòng)IPv6和層次移動(dòng)IPv6中，移動(dòng)節(jié)點(diǎn)通過(guò)無(wú)線接入點(diǎn)（AP）接入網(wǎng)絡(luò)并且自動(dòng)配置地址，缺乏必要的安全認(rèn)證和地址管理機(jī)制。針對(duì)這一問(wèn)題，文章結(jié)合IPv6的動(dòng)態(tài)主機(jī)配置協(xié)議（DHCPv6）和認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA,Authentication、Authorization、Accounting）協(xié)議設(shè)計(jì)出一套安全可靠的接入認(rèn)證機(jī)制，并給出了實(shí)驗(yàn)結(jié)果，結(jié)果表明該接入認(rèn)證方案能夠有效實(shí)現(xiàn)對(duì)移動(dòng)節(jié)點(diǎn)的合法性進(jìn)行驗(yàn)證，認(rèn)證成功的同時(shí)也為移動(dòng)節(jié)點(diǎn)（MN）配置了合法IP地址，能夠滿足實(shí)際應(yīng)用的需要。

0、引言

隨著互連網(wǎng)絡(luò)的飛速發(fā)展和便攜式移動(dòng)終端的不斷涌現(xiàn)，用戶希望通過(guò)個(gè)人終端隨時(shí)隨地的加入到互聯(lián)網(wǎng)中，方便快捷地獲取自己所需的信息，移動(dòng)IPv6[1]應(yīng)運(yùn)而生，實(shí)現(xiàn)了無(wú)線局域網(wǎng)中的跨子網(wǎng)漫游和切換等功能。然而無(wú)線局域網(wǎng)的引入也帶來(lái)了相應(yīng)的安全隱患問(wèn)題，比如對(duì)移動(dòng)節(jié)點(diǎn)（MN）的接入缺少必要的身份驗(yàn)證。本文基于此提出了層次移動(dòng)IPv6的接入認(rèn)證設(shè)計(jì)方案和實(shí)現(xiàn)過(guò)程，為MN在網(wǎng)絡(luò)間的切換提供可靠的身份驗(yàn)證。

本文是在基于內(nèi)核版本為2.6.8.1的Linux平臺(tái)上實(shí)現(xiàn)了層次移動(dòng)IPv6[2]（HMIPv6）的接入認(rèn)證機(jī)制，采用DHCPv6[3]協(xié)議和AAA協(xié)議[4]（認(rèn)證、授權(quán)、計(jì)費(fèi)）相結(jié)合完成接入認(rèn)證過(guò)程，認(rèn)證成功的同時(shí)為MN分配一個(gè)合法的IP地址。

1、接入認(rèn)證方式

在大多數(shù)情況下，移動(dòng)IPv6應(yīng)用于無(wú)線環(huán)境中。與有線網(wǎng)絡(luò)相比，攻擊者可以不受物理空間的限制，在網(wǎng)絡(luò)的任意一個(gè)角落通過(guò)無(wú)線電波發(fā)起諸如重放攻擊和其他主動(dòng)攻擊，而且由于無(wú)線網(wǎng)絡(luò)的特殊性使得攻擊更容易實(shí)施。另外MN切換到外地網(wǎng)絡(luò)時(shí)，所在的網(wǎng)絡(luò)不一定是可信的網(wǎng)絡(luò)，更容易受到諸如竊聽(tīng)、主動(dòng)重放等攻擊，因此無(wú)線接入的安全問(wèn)題顯得尤為突出。下面先對(duì)目前常用的接入認(rèn)證機(jī)制進(jìn)行比較，然后提出本文的認(rèn)證機(jī)制。

1）PPPoE認(rèn)證：以太網(wǎng)上點(diǎn)對(duì)點(diǎn)協(xié)議（PPP over Ethernet）把最經(jīng)濟(jì)的局域網(wǎng)技術(shù)、以太網(wǎng)和點(diǎn)對(duì)點(diǎn)協(xié)議的可擴(kuò)展性及管理控制功能結(jié)合在一起。 PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響，用戶端需要安裝專門的軟件。

2）Web認(rèn)證：Web認(rèn)證最初是一種業(yè)務(wù)類型的認(rèn)證，通過(guò)啟動(dòng)一個(gè)Web頁(yè)面輸入用戶名/密碼,實(shí)現(xiàn)用戶認(rèn)證。Web認(rèn)證目前已經(jīng)成為運(yùn)營(yíng)商網(wǎng)絡(luò)平臺(tái)的認(rèn)證方式，通過(guò)Web頁(yè)面實(shí)現(xiàn)對(duì)用戶是否有使用網(wǎng)絡(luò)權(quán)限的認(rèn)證。缺點(diǎn)：用戶連接性差；易用性不夠好；IP地址的分配在用戶認(rèn)證前；會(huì)造成地址的浪費(fèi)。

3）802.1x認(rèn)證：IEEE 802.1x稱為基于二層端口的訪問(wèn)控制協(xié)議，能夠?qū)崿F(xiàn)認(rèn)證與業(yè)務(wù)的分離。如果簡(jiǎn)單地使用標(biāo)準(zhǔn)協(xié)議，容易造成如中間人攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)接入盜用等安全隱患。用標(biāo)準(zhǔn)802.1x認(rèn)證在認(rèn)證通過(guò)后的安全性是個(gè)很大問(wèn)題，而且無(wú)法滿足上述網(wǎng)絡(luò)接入管理控制的需求。

本方案認(rèn)證機(jī)制在比較上述幾種認(rèn)證機(jī)制的優(yōu)缺點(diǎn)的基礎(chǔ)上，根據(jù)層次移動(dòng)IPv6的網(wǎng)絡(luò)特性和運(yùn)行需求，采用IPv6的動(dòng)態(tài)主機(jī)配置協(xié)議（DHCPv6）結(jié)合AAA協(xié)議來(lái)完成AAA認(rèn)證和地址分配過(guò)程。該機(jī)制工作在網(wǎng)絡(luò)層，不依賴鏈路層協(xié)議，有利于移動(dòng)節(jié)點(diǎn)用多種方式接入網(wǎng)絡(luò)，具有兼容性好、利于向高層協(xié)議擴(kuò)展、實(shí)現(xiàn)簡(jiǎn)單、容易控制、與移動(dòng)IP結(jié)合性好等優(yōu)點(diǎn)。

2、層次移動(dòng)IP接入認(rèn)證設(shè)計(jì)

2.1　層次移動(dòng)IPv6

層次移動(dòng)IPv6引入移動(dòng)錨點(diǎn)（MAP），作用如同一個(gè)本地家鄉(xiāng)代理，它將代表其所服務(wù)的移動(dòng)節(jié)點(diǎn)接收所有數(shù)據(jù)包，并將這些數(shù)據(jù)包封裝后直接轉(zhuǎn)發(fā)至移動(dòng)節(jié)點(diǎn)的當(dāng)前地址。如果移動(dòng)節(jié)點(diǎn)在本地MAP域中更改其當(dāng)前地址（即在線轉(zhuǎn)交地址（LCOA）），只需在相應(yīng)的MAP注冊(cè)新的LCOA。因此，移動(dòng)節(jié)點(diǎn)在對(duì)端節(jié)點(diǎn)或家鄉(xiāng)代理注冊(cè)本地轉(zhuǎn)交地址（RCOA）后，如果移動(dòng)節(jié)點(diǎn)在一個(gè)MAP域中移動(dòng)，則LCOA不發(fā)生改變。這使移動(dòng)節(jié)點(diǎn)的移動(dòng)對(duì)于與其通信的對(duì)端節(jié)點(diǎn)是透明的。

在無(wú)線鏈路情況下，層次移動(dòng)IPv6可以減少通過(guò)空中接口發(fā)送到通信對(duì)端或家鄉(xiāng)代理的消息數(shù)目。移動(dòng)錨點(diǎn)的引入有利于移動(dòng)IPv6協(xié)議減少與外部網(wǎng)絡(luò)之間的移動(dòng)信令傳輸。

2.2　消息格式

本方案采用DHCPv6協(xié)議作為接入認(rèn)證方式，在DHCPv6 Request消息中添加用戶名和密碼選項(xiàng)來(lái)傳送認(rèn)證信息。用戶名選項(xiàng)格式定義如下：

選項(xiàng)標(biāo)識(shí)定義為OPTION_CLIENT_NAI，類型為44，占2個(gè)字節(jié)。

密碼選項(xiàng)格式定義如下：

選項(xiàng)標(biāo)識(shí)定義為OPTION_CLIENT_PASS－WORD，類型為45，占2個(gè)字節(jié)。

如果認(rèn)證失敗，則在reply消息中添加認(rèn)證失敗信息選項(xiàng)，格式定義如下：

選項(xiàng)標(biāo)識(shí)定義為OPTION_AUTH_FAIL，類型為46，占2個(gè)字節(jié)。

圖1　接入認(rèn)證時(shí)序圖

2.3　消息流程

接入認(rèn)證時(shí)序如圖1所示，消息流程如下。

1）當(dāng)MN加入到一個(gè)網(wǎng)絡(luò)中時(shí)，接收當(dāng)?shù)芈酚善靼l(fā)出的路由通告（RA）。

2）MN觸發(fā)DHCPv6客戶端發(fā)送DHCP Solicit消息去發(fā)現(xiàn)DHCPv6服務(wù)器。

3）當(dāng)服務(wù)器收到請(qǐng)求消息后，構(gòu)造相應(yīng)的Advertisement消息發(fā)給DHCPv6客戶端。

4）DHCPv6客戶端收到響應(yīng)消息發(fā)出DHCP Request消息，在消息選項(xiàng)中添加新的用戶名和密碼密文選項(xiàng)。

5）DHCPv6服務(wù)器收到消息后，從中提取用戶名和密文后，對(duì)密文進(jìn)行解密，發(fā)送AAA認(rèn)證請(qǐng)求消息到本地AAA服務(wù)器（AA AL）。

6）AAAL，收到認(rèn)證請(qǐng)求消息后將其轉(zhuǎn)發(fā)到家鄉(xiāng)AAA服務(wù)器（AAAH）。

7）AAAH收到認(rèn)證請(qǐng)求消息后，驗(yàn)證用戶名和密碼。返回認(rèn)證回復(fù)消息。

8）AAAL，服務(wù)器將收到的認(rèn)證回復(fù)消息轉(zhuǎn)發(fā)到AAA客戶端。

9）AAA客戶端對(duì)收到的認(rèn)證回復(fù)進(jìn)行處理，構(gòu)造Reply消息響應(yīng)客戶端請(qǐng)求，

10）MN根據(jù)收到的Reply消息進(jìn)行判斷，至此整個(gè)認(rèn)證過(guò)程完成。

3、軟件實(shí)現(xiàn)過(guò)程

在軟件體系的設(shè)計(jì)上，在HMIPv6的基礎(chǔ)上修改和添加對(duì)DHCPv6配置地址的處理。本文采用MIPL即Mobile IPv6 for Linux，版本為2.0-rc2，層次移動(dòng)IP基于此實(shí)現(xiàn)。DHCPv6采用的是dibbler軟件來(lái)實(shí)現(xiàn)，版本為0.3.1；AAA協(xié)議采用的是FreeRADIUS開(kāi)源軟件，版本為1.0.4，它包含服務(wù)器端和客戶端兩部分。服務(wù)器端有MYSQL開(kāi)源軟件，版本為4.1.7，包過(guò)濾采用Netfilter機(jī)制。

3.1　DHCPv6消息處理

在層次移動(dòng)IP的啟動(dòng)過(guò)程中，當(dāng)MN收到路由通告，發(fā)現(xiàn)與自己的路由緩存中維護(hù)的路由前綴不一樣時(shí)，發(fā)送一個(gè)信號(hào)量啟動(dòng)DHCPv6客戶端子進(jìn)程，開(kāi)始接入認(rèn)證過(guò)程。在DHCPv6協(xié)議中創(chuàng)建用戶名、密碼和認(rèn)證失敗選項(xiàng)，在填充選項(xiàng)內(nèi)容時(shí)，用戶名和密碼通過(guò)對(duì)MN的配置文件進(jìn)行讀取操作，由AAA服務(wù)器預(yù)先分配給用戶。

在獲取密碼后通過(guò)標(biāo)準(zhǔn)的DES加密算法對(duì)原始密碼采用雙方協(xié)商好的密鑰進(jìn)行加密。由于DES只能對(duì)不大于8字節(jié)的字符進(jìn)行加密，所以在加密過(guò)程中先計(jì)算原始密碼的長(zhǎng)度，如果小于或等于8字節(jié)則直接進(jìn)行加密；如果大于8字節(jié)則截取前8個(gè)字節(jié)進(jìn)行加密，再對(duì)剩余的字節(jié)進(jìn)行相同的加密過(guò)程，把生成的密碼拷貝到密碼選項(xiàng)中。為了簡(jiǎn)化運(yùn)算，在該文中默認(rèn)密碼字節(jié)不大于16字節(jié)，一般能滿足實(shí)際運(yùn)用。

在客戶端消息選項(xiàng)中，添加用戶名和密碼選項(xiàng)的標(biāo)識(shí)OPTION_CLIENT_NAI和OPTION_CLIENT_PASSWORD，通過(guò)標(biāo)識(shí)對(duì)相應(yīng)的選項(xiàng)進(jìn)行處理。當(dāng)客戶端在構(gòu)建Request消息時(shí)，把定義好的用戶名和密碼標(biāo)識(shí)通過(guò)系統(tǒng)函數(shù)添加到Request消息中，完成后發(fā)送該消息給服務(wù)器。

DHCPv6服務(wù)器端收到Request消息后，通過(guò)switch語(yǔ)句對(duì)OPTION_CLIENT_ NAI和OPTION_CLIENT_PASSWORD標(biāo)識(shí)進(jìn)行處理，獲取選項(xiàng)中的用戶名和密碼密文字符，其中通過(guò)DES解密算法對(duì)收到的密文使用原先加密用的密鑰進(jìn)行解密。假如密文大于8個(gè)字節(jié)，則先對(duì)前8個(gè)字節(jié)進(jìn)行解密，之后在對(duì)剩余的字節(jié)進(jìn)行解密。把解密好的密碼和用戶名通過(guò)字符讀取操作存到AAA的配置文件中。

完成后在DHCPv6服務(wù)器創(chuàng)建子進(jìn)程來(lái)啟動(dòng)AAA客戶端程序，并且構(gòu)造Reply報(bào)文，在其中創(chuàng)建一個(gè)消息隊(duì)列來(lái)等待接收AAA客戶端認(rèn)證完成后返回的認(rèn)證結(jié)果。如果收到認(rèn)證成功標(biāo)識(shí)，則從地址池中獲取一個(gè)合法地址添加到該消息選項(xiàng)中完成后發(fā)送Reply消息。并且將MN的MAC地址和IP地址發(fā)送到包過(guò)濾器的訪問(wèn)控制列表（ACL）中；如果收到認(rèn)證失敗標(biāo)識(shí)，則在構(gòu)造的Reply消息中添加一個(gè)認(rèn)證失敗信息選項(xiàng)，該認(rèn)證選項(xiàng)標(biāo)識(shí)為OPTION_AUTH_FAIL。將認(rèn)證失敗信息添加到該選項(xiàng)中，并且刪除準(zhǔn)備分配給客戶端的合法地址選項(xiàng)，完成后發(fā)送Reply消息。

MN對(duì)收到的Reply報(bào)文進(jìn)行判斷，使用switch語(yǔ)句對(duì)消息中各選項(xiàng)進(jìn)行處理。如果認(rèn)證成功則含有地址選項(xiàng)標(biāo)識(shí)，從中獲取合法地址分配給接口使用，MN可以使用當(dāng)?shù)鼐W(wǎng)絡(luò)提供的服務(wù)或者完成切換綁定認(rèn)證[5]過(guò)程。如果認(rèn)證失敗，不含有地址選項(xiàng)，而含有OPTION_AUTH_FAIL選項(xiàng)，MN可以獲取該選項(xiàng)中相應(yīng)的出錯(cuò)信息，進(jìn)行再次認(rèn)證或是退出該網(wǎng)絡(luò)。該過(guò)程的主要消息流程如圖2所示。

圖2　DHCPv6接入認(rèn)證消息流程圖

3.2　AAA交互過(guò)程

當(dāng)DHCPv6服務(wù)器調(diào)用子進(jìn)程執(zhí)行AAA客戶端程序后，AAA客戶端將把從MN傳過(guò)來(lái)的密碼和用戶名添加到認(rèn)證請(qǐng)求選項(xiàng)中，向AAAL進(jìn)行認(rèn)證。AAAL將收到的消息轉(zhuǎn)發(fā)給AAAH服務(wù)器,AAAH收到認(rèn)證請(qǐng)求后進(jìn)行認(rèn)證。如用戶名和密碼正確，則返回Accecpt響應(yīng)消息，標(biāo)志認(rèn)證成功；如用戶名或者密碼錯(cuò)誤，則返回Reject響應(yīng)消息，標(biāo)志認(rèn)證失敗。AAAL收到認(rèn)證回復(fù)消息后記錄認(rèn)證信息，下次認(rèn)證時(shí)只需詢問(wèn)AAAL，減少認(rèn)證步驟。

AAA客戶端對(duì)收到的認(rèn)證回復(fù)消息進(jìn)行判斷，通過(guò)創(chuàng)建消息隊(duì)列，將認(rèn)證回復(fù)中的認(rèn)證結(jié)果標(biāo)志傳遞給DHCPv6服務(wù)器。

3.3　包過(guò)濾

在接入路由器上安裝包過(guò)濾器軟件，它工作在網(wǎng)絡(luò)層，根據(jù)ACL列表對(duì)每個(gè)通過(guò)的包進(jìn)行訪問(wèn)控制，列表中維護(hù)IP地址和MAC地址綁定選項(xiàng)，防止合法IP地址被偽造。ACL列表的更新由DHCPv6服務(wù)器完成，認(rèn)證成功后將相應(yīng)的IP地址和MAC地址添加到ACL列表中，當(dāng)DHCPv6分配的地址過(guò)期后負(fù)責(zé)刪除該綁定選項(xiàng)。接入認(rèn)證開(kāi)始只允許DHCPv6協(xié)議和AAA協(xié)議的消息包通過(guò)，認(rèn)證成功后只允許綁定列表中維護(hù)的IP地址消息包通過(guò)，有效地控制了假冒攻擊。

4、測(cè)試結(jié)果

實(shí)驗(yàn)拓?fù)湓�理圖如3所示：

圖3　實(shí)驗(yàn)拓?fù)鋱D

首先修改層次移動(dòng)IP的地址配置機(jī)制，使其采用有狀態(tài)地址配置，在家鄉(xiāng)代理（HA）、接入路由器1（AR1）、AR2和AR3安裝dibbler軟件和包過(guò)濾軟件，在服務(wù)器上安裝RADIUS軟件。

分別在MN上啟動(dòng)HMIPv6程序，在HA上啟動(dòng)HMIPv6程序和DHCPv6服務(wù)器程序，在AR1、AR2和AR3上啟動(dòng)DHCPv6服務(wù)器端程序和路由通告協(xié)議。在服務(wù)器上啟動(dòng)AAA服務(wù)器端程序。通過(guò)手動(dòng)修改ESSID在家鄉(xiāng)與不同的MAP域之間進(jìn)行切換，完成在切換過(guò)程的接入認(rèn)證過(guò)程。

實(shí)驗(yàn)完成了從家鄉(xiāng)到MAP1中的AR1、AR2和MAP2中的AR3的切換過(guò)程的接入認(rèn)證，以及從MAP1到MAP2切換的接入認(rèn)證過(guò)程。在切換的過(guò)程中MN觸發(fā)接入認(rèn)證過(guò)程，只有使用正確的用戶名和密碼才能完成接入，獲得合法的IP地址。切換完成后采用該地址作為轉(zhuǎn)交地址進(jìn)行綁定注冊(cè)和認(rèn)證過(guò)程。如果用戶采用了錯(cuò)誤的用戶名或者密碼，則在切換過(guò)程中不能獲得IP地址，接入認(rèn)證失敗，不能完成切換過(guò)程，MN被拒絕加入相應(yīng)的網(wǎng)絡(luò)。

結(jié)果證明，完成接入認(rèn)證過(guò)程僅需要2s左右，這是完成DHCPv6協(xié)議重復(fù)地址檢測(cè)過(guò)程和AAA協(xié)議信息交互所需的時(shí)間，沒(méi)有增加附加的延時(shí)，并且在認(rèn)證成功的同時(shí)給MN分配了一個(gè)合法的IP地址作為在線轉(zhuǎn)交地址。

5、結(jié)束語(yǔ)

本文結(jié)合HMIPv6、DHCPv6和AAA協(xié)議實(shí)現(xiàn)了對(duì)MN在不同的網(wǎng)絡(luò)間切換的接入認(rèn)證過(guò)程，對(duì)用戶提供了可靠的安全保證，解決了無(wú)線接入存在的安全問(wèn)題；同時(shí)便于運(yùn)營(yíng)商對(duì)接入用戶的管理和維護(hù)；采用DHCPv6作為接入認(rèn)證方式還可以提供對(duì)地址的有效管理和附加參數(shù)的配置（如DNS等）。

下一階段主要是考慮如何縮短認(rèn)證過(guò)程時(shí)間，實(shí)現(xiàn)無(wú)縫切換，并且考慮在雙棧下實(shí)現(xiàn)接入認(rèn)證過(guò)程，這些也是未來(lái)研究的熱點(diǎn)和重點(diǎn)。

參考文獻(xiàn)

1　D Johnson，C Perkins，J Arkko.Mobility Support in IPv6.RFC 3775，June 2004.

2　H Soliman，C Castelluccia，K E1 Malki，et a1.Hierarchical Mobile IPv6 Mobility Management(HMIPv6).RFC 4140，August 2005.

3　J Bound，B Volz，T Lemon，et al. Dynamic Host Configuration Protocol for IPv6(DHCPv6).RFC 3315，July 2003.

4　C Rigney，A Rubens，W Simpson，S.Willens.Remote Authentication Dial In User Service.RFC 2865.June 2000.

5　A Patel，K Leung，M Khalil，H Akhtar. Authentication Protocol for Mobile IPv6.RFC 4285.January 2006.