【51CTO.com 綜合報(bào)道】當(dāng)前，Internet網(wǎng)絡(luò)主要還是基于IPv4協(xié)議，但I(xiàn)Pv6網(wǎng)絡(luò)已經(jīng)開始了廣泛的部署，CNGI就是其中之一。然而IPv4網(wǎng)絡(luò)的成熟性和安全性，還沒(méi)有完全的應(yīng)用到IPv6網(wǎng)絡(luò)之中。比如現(xiàn)有的IPv6接入網(wǎng)絡(luò)，仍然是開放的，用戶可以隨意接入，自由獲得地址、更改地址，不受到任何制約和限制。因此，其接入安全性較難得到保證。

在這一點(diǎn)上WLAN無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)很大的區(qū)別是，無(wú)線用戶需要進(jìn)行認(rèn)證，無(wú)線接入設(shè)備能夠了解每一個(gè)用戶的在線狀態(tài)，了解其對(duì)應(yīng)的MAC、密鑰等信息，因此對(duì)于無(wú)線網(wǎng)絡(luò)的IPv6用戶接入安全，可以采用區(qū)別于有線的一些處理機(jī)制。作為承載包括WLAN在內(nèi)H3C所有網(wǎng)絡(luò)產(chǎn)品特性的統(tǒng)一軟件平臺(tái)，Comware平臺(tái)既考慮了在當(dāng)前的普通IPv4網(wǎng)絡(luò)中的安全性，也考慮了在IPv6網(wǎng)絡(luò)中的安全性。

對(duì)于用戶，其上網(wǎng)的身份標(biāo)識(shí)，在鏈路層為MAC地址，在網(wǎng)絡(luò)層為IP地址，在應(yīng)用層為上網(wǎng)賬號(hào)。對(duì)于WLAN網(wǎng)絡(luò)，其鏈路層安全，即MAC的正確使用可以由11i保證，但用戶報(bào)文的標(biāo)識(shí)--IP地址，特別是跨三層之后IP識(shí)別的有效性，將是保證用戶安全的重要環(huán)節(jié)。現(xiàn)有無(wú)線安全技術(shù)并不保證IP層可靠，即使IPv6也不例處。而且，相當(dāng)多的無(wú)線網(wǎng)絡(luò)采用了共享密鑰的方式，各IPv6用戶之間實(shí)際上可以在鏈路層可以互訪，使得具有敵意的嗅探攻擊成為可能，安全性問(wèn)題反而比有線網(wǎng)絡(luò)中還要嚴(yán)重。

源地址偽造系列安全問(wèn)題

在IPv4網(wǎng)絡(luò)中，所有的網(wǎng)絡(luò)都面臨報(bào)文的偽造問(wèn)題。傳統(tǒng)路由器在轉(zhuǎn)發(fā)IP報(bào)文時(shí)，基于報(bào)文的目的IP地址進(jìn)行查表轉(zhuǎn)發(fā)，不對(duì)報(bào)文源地址的真實(shí)性進(jìn)行任何驗(yàn)證。而基于IP協(xié)議的上層協(xié)議（例如TCP，UDP等）都使用IP地址作為通訊對(duì)方的標(biāo)識(shí)，只要攻擊者偽造了報(bào)文源IP地址，就能夠欺騙對(duì)方，從而攻擊服務(wù)器等現(xiàn)有網(wǎng)絡(luò)應(yīng)用設(shè)備。H3C已經(jīng)針對(duì)IPv4開發(fā)出了一系列的特性防止此類的攻擊。

與IPv4一樣，IPv6網(wǎng)絡(luò)也面臨報(bào)文的偽造問(wèn)題，主要是報(bào)文源地址偽造的問(wèn)題。而且，因?yàn)镮Pv6網(wǎng)絡(luò)是新組建網(wǎng)絡(luò)，很容易忽視這個(gè)問(wèn)題。但攻擊者已經(jīng)開始"關(guān)注"它，并可能利用這些問(wèn)題發(fā)起新的攻擊。

攻擊者偽造的報(bào)文可能是數(shù)據(jù)報(bào)文也可能是控制報(bào)文，最主要的是地址分配、解析的控制報(bào)文。在IPv6網(wǎng)絡(luò)中，與地址分配、解析相關(guān)的控制報(bào)文主要是ND（Neighbor Discovery）協(xié)議報(bào)文、DHCPv6協(xié)議。

針對(duì)ND協(xié)議的攻擊主要有如下幾類，圖1為幾種攻擊的示意。

類型一：欺騙攻擊。通過(guò)發(fā)送偽造NA/NS/RS報(bào)文，修改終端或網(wǎng)關(guān)上特定用戶的MAC地址。

類型二：DoS攻擊。通過(guò)發(fā)送大量偽造的NS/RS報(bào)文，攻擊網(wǎng)關(guān)，使得網(wǎng)關(guān)的ND表項(xiàng)數(shù)量溢出。

類型三：DAD攻擊。通過(guò)偽造的NA報(bào)文，阻斷終端正常的DAD過(guò)程。

類型四：RA攻擊。通過(guò)發(fā)送偽造的RA報(bào)文，欺騙網(wǎng)絡(luò)中的終端，進(jìn)行錯(cuò)誤的網(wǎng)絡(luò)參數(shù)配置。

針對(duì)DHCPv6協(xié)議的攻擊主要有偽造DHCPv6服務(wù)器攻擊。如果網(wǎng)絡(luò)中存在私自架設(shè)的偽DHCPv6服務(wù)器，則可能導(dǎo)致DHCPv6客戶端獲取錯(cuò)誤的IPv6地址和網(wǎng)絡(luò)配置參數(shù)，無(wú)法正常通信。

在Comware平臺(tái)上所設(shè)計(jì)的SAVI（Source Address Validation，源地址有效性驗(yàn)證）技術(shù)，通過(guò)對(duì)地址分配協(xié)議的偵聽(tīng)獲取用戶的IP地址，保證隨后的應(yīng)用中能夠使用正確地址上網(wǎng)，且不可偽造他人IP地址，保證了源地址的可靠性。同時(shí)，通過(guò)SAVI和Portal技術(shù)的結(jié)合，進(jìn)一步保證了所有上網(wǎng)用戶報(bào)文的真實(shí)性和安全性。#p#

一、 源地址驗(yàn)證技術(shù)保證IPv6網(wǎng)絡(luò)接入的安全性

Comware平臺(tái)針對(duì)IPv6網(wǎng)絡(luò)中的源地址偽造系列安全問(wèn)題，提出了一系列解決方案。通過(guò)DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的綁定關(guān)系表，并且以綁定關(guān)系為依據(jù)對(duì)DHCPv6協(xié)議報(bào)文、ND協(xié)議報(bào)文和IPv6數(shù)據(jù)報(bào)文的源地址進(jìn)行合法性的過(guò)濾檢查。

1. DHCPv6 Snooping

安全關(guān)鍵詞：防偽造服務(wù)器攻擊，防地址欺騙攻擊，防DAD攻擊

DHCPv6 Snooping特性可以保證客戶端從合法的服務(wù)器獲取IPv6地址，并記錄DHCPv6客戶端IPv6地址與MAC地址的對(duì)應(yīng)關(guān)系，從而防止ND攻擊。

DHCPv6通過(guò)如下方式防止偽造服務(wù)器攻擊：為了使DHCPv6客戶端能通過(guò)合法的DHCPv6服務(wù)器獲取IPv6地址，DHCPv6 Snooping安全機(jī)制允許將端口設(shè)置為信任端口（Trusted Port）和不信任端口（Untrusted Port）：信任端口正常轉(zhuǎn)發(fā)接收到的DHCPv6報(bào)文；不信任端口接收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報(bào)文后，丟棄該報(bào)文。連接DHCPv6服務(wù)器、DHCPv6中繼或其他DHCPv6 Snooping設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHCPv6客戶端只能從合法的DHCPv6服務(wù)器獲取地址，私自架設(shè)的偽DHCPv6服務(wù)器無(wú)法為DHCPv6客戶端分配地址。

DHCPv6 Snooping通過(guò)監(jiān)聽(tīng)DHCPv6報(bào)文，記錄DHCPv6 Snooping表項(xiàng)，其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。然后再通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對(duì)生成的表項(xiàng)，在對(duì)應(yīng)端口對(duì)收到的報(bào)文進(jìn)行過(guò)濾控制，防止非法報(bào)文通過(guò)端口，從而限制了對(duì)網(wǎng)絡(luò)資源的非法使用，包括地址欺騙攻擊等，提高了端口的安全性。

針對(duì)DAD攻擊，在有狀態(tài)分配地址時(shí)，使用DHCP snooping生成可信表項(xiàng)，攻擊者無(wú)法通過(guò)DHCP過(guò)程獲取與受害者相同的地址，異常的NA報(bào)文是無(wú)法通過(guò)接入層交換機(jī)過(guò)濾的，從而有效的防止了DAD攻擊。在無(wú)狀態(tài)自動(dòng)分配地址時(shí)，用戶可以使用隨機(jī)的InterfaceID，這樣正常用戶的地址分配過(guò)程中，設(shè)備上可以先建立起可信表項(xiàng)，并使用這個(gè)表項(xiàng)對(duì)攻擊者的NA報(bào)文進(jìn)行過(guò)濾，從而有效的防止DAD攻擊。詳見(jiàn)圖2示意。 

2. IPv6 Source Guard

安全關(guān)鍵詞：用戶的合法性檢查

IPv6 Source Guard功能是針對(duì)用戶的合法性檢查功能，是報(bào)文中源IPv6地址和源MAC地址，檢查用戶是否是報(bào)文收到端口所屬VLAN上的合法用戶，包括基于IP Source Guard靜態(tài)綁定表項(xiàng)的檢查、基于ND Snooping表項(xiàng)的檢查和基于DHCPv6 Snooping安全表項(xiàng)的檢查。在這三種表項(xiàng)都存在的情況下，檢查過(guò)程如下（圖3為該過(guò)程示例）：#p#

首先進(jìn)行基于IP Source Guard靜態(tài)綁定表項(xiàng)檢查。如果找到了對(duì)應(yīng)源IPv6地址和源MAC地址的靜態(tài)綁定表項(xiàng)，認(rèn)為該ND報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。如果找到了對(duì)應(yīng)源IPv6地址的靜態(tài)綁定表項(xiàng)但源MAC地址不符，認(rèn)為該ND報(bào)文非法，進(jìn)行丟棄。如果沒(méi)有找到對(duì)應(yīng)源IPv6地址的靜態(tài)綁定表項(xiàng)，繼續(xù)進(jìn)行DHCPv6 Snooping安全表項(xiàng)、ND Snooping安全表項(xiàng)檢查。

在基于IP Source Guard靜態(tài)綁定表項(xiàng)檢查之后進(jìn)行基于DHCPv6 Snooping安全表項(xiàng)、ND Snooping安全表項(xiàng)檢查，只要符合兩者中任何一個(gè)，就認(rèn)為該ND報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。

如果所有檢查都沒(méi)有找到匹配的表項(xiàng)，則認(rèn)為是非法報(bào)文，直接丟棄。 

3. ND Snooping

安全關(guān)鍵詞：防地址欺騙攻擊

ND Snooping特性通過(guò)偵聽(tīng)I(yíng)Pv6的自動(dòng)地址配置過(guò)程中的DAD（Duplicate Address Detection，重復(fù)地址檢測(cè)） NS消息來(lái)建立ND Snooping表項(xiàng)，表項(xiàng)內(nèi)容包括報(bào)文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息。當(dāng)一個(gè)VLAN使能ND Snooping后，該VLAN內(nèi)所有端口接收的ND報(bào)文均會(huì)被重定向到CPU。全局使能ND Snooping后，CPU會(huì)對(duì)這些ND報(bào)文進(jìn)行分析，獲取報(bào)文的源IPv6地址、源MAC地址、源VLAN和入端口信息，并根據(jù)這些信息來(lái)新建或更新ND Snooping表項(xiàng)。更新表項(xiàng)主要根據(jù)DAD NS報(bào)文，同時(shí)兼顧其它種類的ND報(bào)文，并附加更為主動(dòng)的確認(rèn)機(jī)制：首先，設(shè)備將探測(cè)現(xiàn)有該表項(xiàng)的正確性、探測(cè)新收到報(bào)文（報(bào)文A）真實(shí)性。最后通過(guò)老化表項(xiàng)機(jī)制，保證過(guò)期的ND Snooping表項(xiàng)能夠及時(shí)刪除。

與DHCPv6 Snooping一樣，ND Snooping表項(xiàng)也可與IPv6 Source Guard功能配合使用，通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對(duì)ND Snooping生成的表項(xiàng)，在對(duì)應(yīng)端口對(duì)收到的報(bào)文進(jìn)行過(guò)濾控制，防止地址欺騙攻擊，從而限制了對(duì)網(wǎng)絡(luò)資源的非法使用，提高了端口的安全性。

4. ND Detection和其他預(yù)防機(jī)制

安全關(guān)鍵詞：防仿冒網(wǎng)關(guān)攻擊，防DoS攻擊

在DHCPv6 Snooping和ND Snooping基礎(chǔ)上，Comware提供了ND Detection功能，檢查用戶的ND協(xié)議報(bào)文的合法性。對(duì)于合法用戶的ND報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。ND Detection功能將接入設(shè)備上的端口分為兩種：ND信任端口、ND非信任端口。對(duì)于ND信任端口，不進(jìn)行用戶合法性檢查；對(duì)于ND非信任端口，如果收到RA和RR消息，則認(rèn)為是非法報(bào)文直接丟棄，如果收到其它類型的ND報(bào)文，則需要進(jìn)行用戶合法性檢查，以防止仿冒用戶的攻擊（如圖4所示）。

針對(duì)DoS攻擊，Comware也提供了相應(yīng)的預(yù)防機(jī)制。攻擊者通過(guò)構(gòu)造IP或MAC不斷變化的NS/RS報(bào)文進(jìn)行對(duì)三層設(shè)備的DoS攻擊，耗盡網(wǎng)關(guān)的ND表項(xiàng)資源。Comware在網(wǎng)關(guān)上可以基于路由口，也可以基于物理端口配置ND學(xué)習(xí)的數(shù)量，將ND攻擊限定在一個(gè)較小的范圍，未來(lái)還可以通過(guò)限制固定時(shí)間內(nèi)的學(xué)習(xí)數(shù)量等技術(shù)，擴(kuò)展對(duì)DoS攻擊的防御能力。#p#

二、 擴(kuò)展的WLAN技術(shù)

上述機(jī)制有力的保證了寬帶網(wǎng)絡(luò)中IPv6用戶的源地址的可靠性。針對(duì)WLAN的新型組網(wǎng)， Comware平臺(tái)提出了新穎的方案（H3C專利技術(shù)），解決了包括設(shè)備過(guò)濾性能、客戶端漫游等問(wèn)題，并有效的完成了IPv6源地址驗(yàn)證。

WLAN組網(wǎng)中包括兩個(gè)要素：

AP（Access Point，接入點(diǎn)），提供無(wú)線客戶端到局域網(wǎng)的橋接功能，在無(wú)線客戶端與無(wú)線局域網(wǎng)之間進(jìn)行無(wú)線到有線和有線到無(wú)線的幀轉(zhuǎn)換。

AC（Access Controller，無(wú)線控制器），對(duì)無(wú)線局域網(wǎng)中的所有AP進(jìn)行控制和管理。無(wú)線控制器還可以通過(guò)同認(rèn)證服務(wù)器交互信息，來(lái)為WLAN用戶提供認(rèn)證服務(wù)。

因?yàn)榇嬖趦杉?jí)鏈路層轉(zhuǎn)發(fā)控制設(shè)備，如果類似于有線網(wǎng)絡(luò)，簡(jiǎn)單的進(jìn)行DHCPv6 Snooping或ND snooping，再進(jìn)行IP Source Guard，需要考慮部署在哪一級(jí)。如果兩者都部署在AC上，則當(dāng)用戶數(shù)很多時(shí)非常耗費(fèi)資源，且性能很容易下降。如果兩者都部署在AP上，則AP既要偵聽(tīng)學(xué)習(xí)表項(xiàng)，又要維護(hù)IP Source Guard表項(xiàng)，并以此過(guò)濾數(shù)據(jù)報(bào)文，性能也會(huì)有一定的影響。另外，不同AP之間仍然存在IP仿冒問(wèn)題。比如一個(gè)AP上有用戶使用了某個(gè)IP后，其它AP上某用戶仿冒同一IP，發(fā)送DHCPv6 Confirm報(bào)文（也是合法的DHCP交互過(guò)程，用于重新確認(rèn)分配的地址），則原始AP上并不能及時(shí)知曉。

因此在WLAN環(huán)境下，Comware采用了新的源地址驗(yàn)證模型，通過(guò)對(duì)WLAN原有的MAC驗(yàn)證機(jī)制、漫游機(jī)制進(jìn)行擴(kuò)展，在AC/AP架構(gòu)下，在AP上采用類似于DHCPv6 Snooping，ND Snooping的機(jī)制，生成基于用戶的IPv6地址相關(guān)信息，并采用IPv6 Source Guard進(jìn)行IPv6源地址驗(yàn)證；在向AC同步用戶信息表時(shí)，同步用戶的IPv6信息以及對(duì)應(yīng)的IPv6地址生命期等相關(guān)信息，在用戶漫游后向新AP同步對(duì)應(yīng)的信息生成新的用戶信息表；在AC上生成所有同鏈路用戶IPv6地址信息總表，在每個(gè)新用戶IPv6地址上報(bào)給AC時(shí)進(jìn)行唯一性對(duì)比，防止同一鏈路內(nèi)的IPv6地址偽造（如圖5所示）。

通過(guò)上述技術(shù)，擴(kuò)展了WLAN原有的用戶驗(yàn)證技術(shù)，使用基于每用戶的IPv6地址表進(jìn)行IPv6用戶查找，速度更快，更易于維護(hù)；并解決了WLAN網(wǎng)絡(luò)中，存在漫游的情況下保證對(duì)用戶進(jìn)行IPv6源地址驗(yàn)證的問(wèn)題。

三、  結(jié)合Portal認(rèn)證，保證IPv6接入的可管理性

前面討論的對(duì)源地址驗(yàn)證方法，解決了用戶偽造報(bào)文的問(wèn)題。這樣，我們就可以通過(guò)用戶IPv6地址來(lái)唯一標(biāo)識(shí)用戶身份，將其與用戶一一對(duì)應(yīng)起來(lái)，也可以使用跨越三層路由器的身份識(shí)別，從而方便的對(duì)用戶的上網(wǎng)行為進(jìn)行管理，包括認(rèn)證、授權(quán)和計(jì)費(fèi)。典型的基于IP進(jìn)行身份識(shí)別的認(rèn)證技術(shù)為Portal認(rèn)證，通常也稱為Web認(rèn)證。

在部署了Portal的網(wǎng)絡(luò)中，未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問(wèn)其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，設(shè)備才允許此用戶的IPv6地址使用互聯(lián)網(wǎng)資源。

Comware平臺(tái)所實(shí)現(xiàn)的Portal認(rèn)證功能，支持本地Portal服務(wù)器功能，即Portal認(rèn)證系統(tǒng)中不采用外部獨(dú)立的Portal服務(wù)器，而由接入設(shè)備實(shí)現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個(gè)基本要素：認(rèn)證客戶端、接入設(shè)備和認(rèn)證/計(jì)費(fèi)服務(wù)器。由于設(shè)備支持Web用戶直接認(rèn)證，因此就不需要部署額外的Portal服務(wù)器，增強(qiáng)了Portal認(rèn)證的通用性。在無(wú)線應(yīng)用環(huán)境中，可以給屬于不同SSID（Service Set Identifier，服務(wù)集識(shí)別碼）的用戶綁定不同的認(rèn)證頁(yè)面，從而提供差異化服務(wù)。

四、 結(jié)束語(yǔ)

IPv6源地址驗(yàn)證技術(shù)（SAVI），保證了網(wǎng)絡(luò)上每一個(gè)用戶所發(fā)報(bào)文的源地址的可靠性，Portal認(rèn)證保證了IPv6用戶的可管理性，將Portal與IPv6源地址驗(yàn)證有效結(jié)合，將有力保證用戶上網(wǎng)的易用性和安全性，并對(duì)用戶IPv6流量進(jìn)行統(tǒng)一管理，保證網(wǎng)絡(luò)維護(hù)的簡(jiǎn)潔和易操作性。