基于层次移动IPv6接入认证设计与实现

软件，它工作在网络层，根据ACL列表对每个通过的包进行访问控制，列表中维护IP地址和MAC地址绑定选项，防止合法IP地址被伪造。ACL列表的更新由DHCPv6服务器完成，认证成功后将相应的IP地址和MAC地址添加到ACL列表中，当DHCPv6分配的地址过期后负责删除该绑定选项。接入认证开始只允许DHCPv6协议和AAA协议的消息包通过，认证成功后只允许绑定列表中维护的IP地址消息包通过，有效地控制了假冒攻击。

4、测试结果

实验拓扑原理图如3所示：

图3　实验拓扑图

首先修改层次移动IP的地址配置机制，使其采用有状态地址配置，在家乡代理（HA）、接入路由器1（AR1）、AR2和AR3安装dibbler软件和包过滤软件，在服务器上安装RADIUS软件。

分别在MN上启动HMIPv6程序，在HA上启动HMIPv6程序和DHCPv6服务器程序，在AR1、AR2和AR3上启动DHCPv6服务器端程序和路由通告协议。在服务器上启动AAA服务器端程序。通过手动修改ESSID在家乡与不同的MAP域之间进行切换，完成在切换过程的接入认证过程。

实验完成了从家乡到MAP1中的AR1、AR2和MAP2中的AR3的切换过程的接入认证，以及从MAP1到MAP2切换的接入认证过程。在切换的过程中MN触发接入认证过程，只有使用正确的用户名和密码才能完成接入，获得合法的IP地址。切换完成后采用该地址作为转交地址进行绑定注册和认证过程。如果用户采用了错误的用户名或者密码，则在切换过程中不能获得IP地址，接入认证失败，不能完成切换过程，MN被拒绝加入相应的网络。

结果证明，完成接入认证过程仅需要2s左右，这是完成DHCPv6协议重复地址检测过程和AAA协议信息交互所需的时间，没有增加附加的延时，并且在认证成功的同时给MN分配了一个合法的IP地址作为在线转交地址。

5、结束语

本文结合HMIPv6、DHCPv6和AAA协议实现了对MN在不同的网络间切换的接入认证过程，对用户提供了可靠的安全保证，解决了无线接入存在的安全问题；同时便于运营商对接入用户的管理和维护；采用DHCPv6作为接入认证方式还可以提供对地址的有效管理和附加参数的配置（如DNS等）。

下一阶段主要是考虑如何缩短认证过程时间，实现无缝切换，并且考虑在双栈下实现接入认证过程，这些也是未来研究的热点和重点。

参考文献

1　D Johnson，C Perkins，J Arkko.Mobility Support in IPv6.RFC 3775，June 2004.

2　H Soliman，C Castelluccia，K E1 Malki，et a1.Hierarchical Mobile IPv6 Mobility Management(HMIPv6).RFC 4140，August 2005.

3　J Bound，B Volz，T Lemon，et al. Dynamic Host Configuration Protocol for IPv6(DHCPv6).RFC 3315，July 2003.

4　C Rigney，A Rubens，W Simpson，S.Willens.Remote Authentication Dial In User Service.RFC 2865.June 2000.

5　A Patel，K Leung，M Khalil，H Akhtar. Authentication Protocol for Mobile IPv6.RFC 4285.January 2006.