IPv6的接入层安全技术

二、用户身份安全

1. 双栈用户的身份认证

在用户接入网络时，为了保证用户的身份安全，需要对用户进行身份验证，认证的方式是使用802.1X认证协议。用户身份验证完成后，在服务器侧会对用户的接入地址、接入位置进行审计，在一些对安全要求较高的网络中，同时结合网流分析系统，对用户后续的网络访问进行审计。

在双栈网络中，原有的IPv4用户会升级为IPv6/IPv4的双栈客户端，在这种情况下，需要对原有的用户认证系统进行升级，使得客户端，认证服务器能够识别一个双栈用户，对其进行相应的认证并执行对应的安全措施。

2. 双栈网络中认证设备的升级

由于802.1X是在链路层对用户进行认证，当认证完成后，根据接入用户的MAC地址进行控制。而对使用了IPv6/IPv4的双栈用户而言，认证客户端不仅能够在链路层执行用户认证过程，还需要针对这个用户将用户的IPv6/IPv4地址上传到服务器上，为后续针对用户的控制、审计提供必要的支撑。

如上文所述，在双栈网络中，需要对认证客户端，认证服务器进行升级改造，使之能够适应双栈网络的情况，对认证客户端及认证服务器的改造情况如下：

认证客户端：支持对认证网卡上的双栈地址的上传。这里需要说明的是，对于一个使用隧道接入的用户，其虽然能够使用IPv6进行接入，但是还是使用IPv4进行隧道封装后进行的转发，所以认证客户端侧仍然将其视为一个IPv4的用户。

上传IP地址的客户端选项，在802.1X连接的属性中进行配置，如图5所示：


图5 客户端IP地址上传

在认证客户端侧只有选中了"上传IP地址"选项，对应连接在做802.1X认证时才允许上报IPv4和IPv6地址。当选择了"上传IP地址"的选项后，认证客户端会在802.1X认证时，将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器，完成对双栈用户的识别。

认证服务器：认证服务器能够对客户端上传的IPv6/IPv4地址进行记录，对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外，在认证服务器上还可以对用户的身份信息进行绑定，能够绑定用户的IPv4/IPv6地址，接入端口，MAC地址等信息进行联合绑定，提高用户身份的可信度。

通过将认证客户端及认证服务器升级，能够处理双栈用户的网络层信息，这样为后续的用户身份审计，用户上网审计提供了有效参考。并且，在网络中能够对双栈用户的各种身份信息进行绑定，大大提高了接入用户的安全性。

三、 结束语

在双栈园区网的接入层，主要考虑网络协议安全及用户接入的身份安全两个部分，在升级为IPv6/IPv4后，接入层的安全控制同样要发生变化。上文描述了双栈网络中的接入层安全技术，包括ND协议安全及用户身份安全部分。在接入层安全技术的部署中，根据所需的安全等级及具体网络情况，有选择的进行部署，对ND协议的风险及非法用户的风险进行防御。在双栈网络中，可以与ARP防攻击结合，在接入层完成对ARP攻击，ND攻击及非法用户访问的防御，提升接入层网络的安全性。