基于层次移动IPv6接入认证设计与实现

摘要　在移动IPv6|0">IPv6和层次移动IPv6中，移动节点通过无线接入点（AP|0">AP）接入网络并且自动配置地址，缺乏必要的安全认证和地址管理机制。针对这一问题，文章结合IPv6的动态主机配置协议（DHCPv6）和认证、授权、计费（AAA|0">AAA,Authentication、Authorization、Accounting）协议设计出一套安全可靠的接入认证机制，并给出了实验结果，结果表明该接入认证方案能够有效实现对移动节点的合法性进行验证，认证成功的同时也为移动节点（MN）配置了合法IP地址，能够满足实际应用的需要。

0、引言

随着互连网络的飞速发展和便携式移动终端的不断涌现，用户希望通过个人终端随时随地的加入到互联网中，方便快捷地获取自己所需的信息，移动IPv6[1]应运而生，实现了无线局域网中的跨子网漫游和切换等功能。然而无线局域网的引入也带来了相应的安全隐患问题，比如对移动节点（MN）的接入缺少必要的身份验证。本文基于此提出了层次移动IPv6的接入认证设计方案和实现过程，为MN在网络间的切换提供可靠的身份验证。

本文是在基于内核版本为2.6.8.1的Linux平台上实现了层次移动IPv6[2]（HMIPv6）的接入认证机制，采用DHCPv6[3]协议和AAA协议[4]（认证、授权、计费）相结合完成接入认证过程，认证成功的同时为MN分配一个合法的IP地址。

1、接入认证方式

在大多数情况下，移动IPv6应用于无线环境中。与有线网络相比，攻击者可以不受物理空间的限制，在网络的任意一个角落通过无线电波发起诸如重放攻击和其他主动攻击，而且由于无线网络的特殊性使得攻击更容易实施。另外MN切换到外地网络时，所在的网络不一定是可信的网络，更容易受到诸如窃听、主动重放等攻击，因此无线接入的安全问题显得尤为突出。下面先对目前常用的接入认证机制进行比较，然后提出本文的认证机制。

1）PPPoE认证：以太网上点对点协议（PPP over Ethernet）把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。 PPPoE在发现阶段会产生大量广播流量，对网络性能产生很大的影响，用户端需要安装专门的软件。

2）Web认证：Web认证最初是一种业务类型的认证，通过启动一个Web页面输入用户名/密码,实现用户认证。Web认证目前已经成为运营商网络平台的认证方式，通过Web页面实现对用户是否有使用网络权限的认证。缺点：用户连接性差；易用性不够好；IP地址的分配在用户认证前；会造成地址的浪费。

3）802.1x认证：IEEE 802.1x称为基于二层端口的访问控制协议，能够实现认证与业务的分离。如果简单地使用标准协议，容易造成如中间人攻击、拒绝服务攻击、网络接入盗用等安全隐患。用标准802.1x认证在认证通过后的安全性是个很大问题，而且无法满足上述网络接入管理控制的需求。

本方案认证机制在比较上述几种认证机制的优缺点的基础上，根据层次移动IPv6的网络特性和运行需求，采用IPv6的动态主机配置协议（DHCPv6）结合AAA协议来完成AAA认证和地址分配过程。该机制工作在网络层，不依赖链路层协议，有利于移动节点用多种方式接入网络，具有兼容性好、利于向高层协议扩展、实现简单、容易控制、与移动IP结合性好等优点。

2、层次移动IP接入认证设计

2.1　层次移动IPv6

层次移动IPv6引入移动锚点（MAP），作用如同一个本地家乡代理，它将代表其所服务的移动节点接收所有数据包，并将这些数据包封装后直接转发至移动节点的当前地址。如果移动节点在本地MAP域中更改其当前地址（即在线转交地址（LCOA）），只需在相应的MAP注册新的LCOA。因此，移动节点在对端节点或家乡代理注册本地转交地址（RCOA）后，如果移动节点在一个MAP域中移动，则LCOA不发生改变。这使移动节点的移动对于与其通信的对端节点是透明的。

在无线链路情况下，层次移动IPv6可以减少通过空中接口发送到通信对端或家乡代理的消息数目。移动锚点的引入有利于移动IPv6协议减少与外部网络之间的移动信令传输。

2.2　消息格式

本方案采用DHCPv6协议作为接入认证方式，在DHCPv6 Request消息中添加用户名和密码选项来传送认证信息。用户名选项格式定义如下：

选项标识定义为OPTION_CLIENT_NAI，类型为44，占2个字节。

密码选项格式定义如下：

选项标识定义为OPTION_CLIENT_PASS－WORD，类型为45，占2个字节。

如果认证失败，则在reply消息中添加认证失败信息选项，格式定义如下：

选项标识定义为OPTION_AUTH_FAIL，类型为46，占2个字节。

图1　接入认证时序图

2.3　消息流程

接入认证时序如图1所示，消息流程如下。

1）当MN加入到一个网络中时，接收当地路