admin管理员组文章数量:1530847
2024年7月22日发(作者:)
第30卷 第11期
Vol.30 № 11
·网络与通信·
计 算 机 工 程
Computer Engineering
文章编号:1000—3428(2004)11 —0081—03
文献标识码:A
2004年6月
June 2004
中图分类号:TN915.04
IPv6/IPv4
双协议栈以太网接入认证和移动技术
张
宇,侯自强,高纪明
(中科院声学所
DSP
中心,
北京
100080
)
摘 要:介绍了
IPv6/IPv4
双协议栈以太网接入路由器及其接入方案具有用户认证、用户管理和详细的数据统计功能,能够同时提供
IPv6
和
IPv4
接入,与移动家乡代理服务器配合,可支持移动
IP
用户,能够满足未来商业化的、有线无线一体化的以太网接入的需求。
关键词:
IPv6
;以太网;接入路由器;协议栈;认证
IPv6/IPv4 Dual Stack Ethernet Access Router
with Authentication and Mobility Support
ZHANG Yu
,
HOU Ziqiang
,
GAO Jiming
(
DSP Engineering Center, Institute of Acoustics, CAS, Beijing 100080
)
【Abstract】
This paper introduces an IPv6/IPv4 dual stack access router designed and implemented the authous. It supports user authentication, user
management and accounting and gives access service simultaneously to both IPv6 and IPv4 users. Co-operating with mobile IP home agent, it supports IP
mobility. It can meet the future demands of commercial wire and wireless integrated Ethernet access.
【Key words】
IPv6
;
Ethernet
;
Access router
;
Protocol stack
;
Authentication
随着网络技术的发展,同时支持语音、数据和多媒体应用的
移动通信终端已经出现。这种全IP化的通信需求,将导致现
行的IPv4协议的地址空间不足问题越来越突出,必将制约网
络终端的广泛应用。IPv4的移动性方面一直没有较好的解决
方案,而IPv6
[1]
在其设计时就考虑了对移动性的支持,通过
无状态地址自动配置
[2]
和IP路由扩展包头解决移动性的问
题。可见IPv6是下一代网络发展的方向和基础。
网络的应用是从科研教育机构发展起来的,是一个开放的网
络。随着网络的商业化应用,原有的网络接入方案不适合新
的应用环境。首先就是认证计费问题。现有的网络设备不能
区分各种业务,实现按业务计费,而主要采取包月计费或按
时计费的方式。这种服务模式难以适应用户多样化的需求,
也使得运营商运营收入难以提高。
可见,支持IPv6的具有认证功能的以太网接入是发展方向,
同时也要实现业务开通、用户管理和统计计费等问题。
2
接入认证
接入路由器内置AAA代理,通过与AAA服务器的协作,可为
本地用户和来访移动用户提供认证服务。接入路由器向用户
发送要求认证报文,向AAA系统转发认证报文,收到AAA系
统的认证应答后向用户主机返回认证结果,并在访问控制列
表中保存认证结果(图1)。
1
接入路由器功能
IPv6/IPv4双协议栈以太网接入路由器的硬件平台基于网络处
理器,定制的微码程序可分别处理IPv6和IPv4报文,能够线
速(line-speed)转发IP报文。CPU中运行能够同时支持IPv6
和IPv4的双协议栈,能够对两种协议进行处理,提供IPv6和
IPv4用户的同时接入。支持6to4隧道技术
[3]
,互联不同的网
络,适应从现有网络向IPv6网络过渡的需要。
内置AAA(Authentication, Authorization, Accounting)代理模
块,能与远程AAA服务器交互,完成认证、用户管理和计费
功能。实现用户认证、双向速率限制、流量限制、访问列表
控制(ACL)、提供QoS保证和双向流量统计,使IP接入业
务易于管理和监控,适于商业运营的需要。
协议栈提供扩展的Socket接口,支持IPv6应用;支持无状态
地址自动分配,简化网络参数配置;支持扩展RS和扩展RA
报文
[4]
,能够识别家乡地址,提供移动性支持; 支持按端口的
流量统计,按IP地址的流量统计,提供详细的计费信息。
图1 AAA接入路由器与系统的结合
如果要求认证的是来访移动用户,用户的认证报文中应携带
家乡地址信息,接入路由器转发这一认证请求到本地AAA服
务器。本地AAA服务器能够识别家乡地址,并将此类认证报
文转发给移动主机的家乡AAA服务器进行认证。
移动终端认证过程(见图2)如下。
—移动终端—认证请求
MN AAA_Req
—接入路由器—
认证应答
AR AAA_Rep
—本地服务器
AAAL AAA ARR
—
AAA
注册请求
—家乡服务器
AAAH AAA ARA
—
AAA
注册应答
—路由请求扩展—
RS+ ACR AAA
计费请求
—路由公告扩展—
RA+ ACA AAA
计费应答
基金项目:中科院知识创新工程重要方向项目(
KGCX2-SW-102
)
作者简介:张
1971
宇(—),男,博士,
研究方向为宽带网络;
侯自强,研究员、博导;高纪明,博士
收稿日期:
2003-05-17
E-mail:
zhangyu@
—
81
—
MN
RS+/RA+
AAA_Req
ARAAALAAAH
ARR
ARR
ARA
ARA
ACR
AAA_Rep
ACA
(1) AAAH
发送
ASR
给
AAAL
。
(2) AAAL
收到来自
AAAH
的
ASR
,转发给
AR
。
(3) AR
收到
ASR
后删除该用户的对应表项,停止对该用户的服务。
向
AAAL
返回
ASA
应答。
(4) AAAL
若收到
AR
的
ASA
,则释放该
Session ID
所对应的表项,并
发送
ASA
给
AAAH
。
(5) AAAH
收到
AAAL
来的
ASA
,删除
MN
对应的表项。
图2 移动终端的认证过程
(1) MN
向
AR
发送
RS+
。
(2) AR
收到来自
MN
的
RS+
,向
MN
发送
RA+
。
(3) MN
收到来自
AR
的
RA+
,向
AR
发送认证请求
AAA_Req
。
(4) AR
收到来自
MN
的
AAA_Req
,根据源
IP
地址查找转发表,若存
在相应表项,说明已经认证过,发送
AAA_Rep
给
MN
,并发送
ACR
(计费请求)消息给
AAAL
。
(5) AAAL
收到来自
AR
的
ARR
,根据用户
ID
,搜索本地用户表,若
找到已认证信息,且认证信息没有过期,则发送
ARA
给
AR
。若没
有找到,则转发
ARR
到
AAAH
,并缓存用户
ID
信息。
(6) AAAH
收到转发自
AAAL
的
ARR
包,根据用户
ID
查找用户表,根
据查到的用户策略信息(共享密钥,流量限制,有效时间),构造
并发送
ARA
包给
AAAL
。
(7) AAAL
收到来自
AAAH
的应答
ARA
,若为
ACCEPT
,则将该用户
及相关信息(包括用户
IP
,
MN
和
AAAH
之间的共享密钥,
Session
有效时间,流量限制),添入本地用户表,若为,则删
ID, REJECT
除缓存信息。转发
ARA
到
AR
。
(8) AR
收到来自
AAAL
的认证应答包
ARA
。若为
ACCEPT
,则构造
用户访问控制表项,并向
MN
转发
ACCEPT
。同时向
AAAL
发送
ACR
,开始计费。
(9) MN
收到来自
AR
的
AAA_Rep
。
3.3
用户隔离
由于以太网传输数据是靠竞争而且多路复用一条以太网线
路,因此在现有的以太网接入中,同一个交换机或集线器下
的用户在网络二层即链路层是互通的。用户可以通过网络邻
居等相互访问。使用网络嗅探器之类的软件可以获得其它用
户正在传输的数据。尤其是可以获得IP地址、未经加密的用
户名、密码等敏感数据。这对用户的管理和计费带来很多挑
战。
这可以通过在交换机上为每个用户划分一个VLAN的方法来
解决。但一个VLAN至少占用一个最小子网地址,即4个IP
地址,浪费了IP地址空间。
双栈接入路由器支持类似VLAN集中
[5]
的功能,即允许被
VLAN隔离的用户处于同一IP子网内。因此,可以连续分配
IP地址,而不必为一个VLAN用户分配一个最小子网地址,
大大节省了IP地址。
采用VLAN集中时,用户在二层被隔离,他们之间不能通过
二层协议进行通信。用户主机发出的数据包一律被发往双栈
接入路由器,由接入路由器作三层转发。接入路由器终结所
有VLAN,对网络拓扑中的上层设备透明,简化了网络配
置。这种接入方式增大了安全性,保护了用户的隐私。
4
计费
接入路由器的硬件实现是基于网络处理器。网络处理器中的
微码程序负责收集流量、时间等统计信息。不仅实现了按端
口进行统计,还实现了按IP地址进行统计,增加了计费策略
的灵活性。计费信息会定时发送给计费服务器,或应计费服
务器的要求,向计费服务器发送统计信息。AAA系统会根据
这些信息完成计费。
至此完成用户的认证过程。此后MN发送的数据在AR处可以
被允许通过,并对通信数据进行统计,为用户管理和计费提
供支持。
3
用户管理
3.1
带宽限制
用户成功通过认证后,从AAA系统返回此用户的授权数据。
其中包括对用户最大可使用带宽的限制数据。这个数据被保
存在接入路由器中。网络处理器在转发用户报文时,微码对
用户的数据进行统计,保证用户不会占用比授予他的更多的
带宽。这在一定程度上提供了QoS的支持。
3.2
时间限制
用户成功通过认证后,本次认证后可以使用的时间数据被保
存在接入路由器。在超时前如果用户重新认证,可延长使用
时间。如超时,AAA服务器会要求停止对某用户的接入服
务。具体过程如图3。
ARAAAL
ASR
ASR
ASA
ASA
AAAH
5
移动性支持
IPv6协议通过路由扩展包头提供对移动性的支持。移动IPv6
协议
[6]
详细定义了移动过程中的信令及其过程。但移动IPv6
协议并没有考虑当移动终端(MN)移动到外地后的接入认
证问题。
AAAL中保存有本地用户的数据,所以本地用户认证时
AAAL会在数据库中搜索,找到对应表项,完成认证过程。
当MN在外地时,通过RS/RA报文进行无状态自动地址配
置,获得当地的一个新的IP地址。这个新配置的IP地址在
AAAL的用户数据库中没有对应的表项,所以认证不会通
过,用户也就不能获得网络服务。
为此必须制定新的协议,帮助移动用户完成认证过程。扩展
了RS/RA报文,在报文中携带一些选项,例如移动主机的家
乡地址,与家乡认证服务器的安全关系数据等,形成RS+/
RA+报文。当接入路由器收到此类报文时,知道这是一个外
地用户,并可以获得其家乡地址。在发给AAAL的认证报文
中包含这些信息。AAAL接到后,根据家乡地址等信息把认
证报文转发给AAAH。参见图1。AAAH最终完成认证服务,
返回认证后的授权数据等,接入路由器才会让以这个新的IP
地址为源地址的IP报文通过。MN发送移动IP的Binding
Update,向移动IP家乡代理注册当前IP地址,完成移动漫游
图3 MN授权到时被停止服务的过程
—
82
—
注册。
6
接入方案
IPv4虽然在地址空间、QoS和移动性支持等方面暴露出不
足,但由IPv4转换到IPv6不可能在短时期内实现。IPv4和
IPv6将在长期内共存,并逐渐被IPv6所取代。这就有一个
IPv6与IPv4互联互通的问题。目前互通性问题的解决方案主
要有两种:一种是协议转换,另一种是隧道封装。协议转换
技术还不成熟,目前还不能做到无信息丢失的完全地转换。
而隧道封装技术比较成熟,在实践中应用较多。
关负责解开隧道封装,还原出IPv6报文,在IPv6网络中通过
正常的路由而到达目的主机。
采用这种设计的好处在于:对下,用户可以自由选择自己主
机采用哪种TCP/IP协议栈,接入路由器都能为其提供转发服
务;对上,可同时接入IPv4和IPv6城域网,而且在IPv6网络
还是“孤岛”时就可以接入IPv6网络。这种设计比较切合
IPv4向IPv6网络过渡的需要,即保护了运营商的投资又满足
了用户的需求。
如图4所示。从地理位置上说,双栈接入路由器位于某一区
域网络的出口。
从网络拓扑结构上来看,接入路由器位于接入网的边缘,起
到边缘汇聚、用户管理的作用。向下可以通过交换机、集线
器等连接客户主机,而且同时支持IPv4和IPv6的用户主机。
向上连接到接入网入4路由器,可以接入IPv4网络,也可以
接入IPv6网络。如图中所示,IPv6用户访问直接相连的IPv6
网络中的服务器时是正常的IPv6报文;IPv4用户访问直接相
连的IPv4网络中的服务器时是正常的IPv4报文;当IPv6用户
访问被IPv4网络隔开的IPv6网络时,将IPv6报文封装为IPv4
报文,然后通过IPv4网络的正常路由机制到达远端IPv6网络
的入口。远端IPv6网络的入口网关也是一台双协议栈网络设
备,它负责解开封装,得到正常的IPv6报文,通过正常的
IPv6路由机制到达目的主机。
参考文献
1 RFC 2460 Internet Protocol, Version 6 (IPv6) Specification
2 RFC 2462 IPv6 Stateless Address Autoconfiguration
3 RFC 2529 Transmission of IPv6 over IPv4 Domains without Explicit
Tunnels
4 draft-yegin-unap-snard-00 Secure Network Access Using Router
Discovery and AAA
5 RFC 3069 VLAN Aggregation for Efficient IP Address Allocation
6 draft-ietf-mobileip-ipv6-18 Mobility Support in IPv6
图4 双栈以太网接入路由器接入方案
双栈接入路由器有两个上连端口,一个用于接入IPv6网络,
一个用于接入IPv4网络(参见图4)。在用于接入IPv4网络
的上连端口上配置静态隧道。IPv4用户的数据包正常通过,
IPv6用户的数据包被封装为IPv4的报文穿越IPv4网络。在
IPv4网络的另一端,一个双栈的连接IPv4与IPv6网络的网
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
(上接第33页)
5
结论
本文提出了一种效率较高,长度较短的群签名方案,并
分析了其安全性和效率。为了满足无关联性,需要成员每产
生一个签名之前都要重新产生一对不同的公钥/私钥。因此
将尽可能使成员做少量的签名。不过,由于使用了椭圆曲
线,密钥产生的效率比起用RSA或其他签名体制还是有明显
优势的。由于现有的群签名产生的效率都不高,签名长度也
很长,因此我们的签名具有一定的实用性。具体应用在电子
选举、投标等系统中,既可保证签名的效率,又不需要单个
成员做大量的签名而增加系统负担。
参考文献
1 Cja J C, Cheon J H. An Identity-based Signature from Gap Diffie
Hellman .,IACR Cryptology ePrint Archive:Report,
/2002/018/,2002
2 Boneh D, Lynn B, Shacham H. Short Signatures from the Weil
Pairing. Advances in Cryptology-ASIACRYPT' 01,LNCS, ed.,
Springer-Verlag,2001,2248
3 Pointcheval D, Stern J. Security Arguments for Digital Signatures
and Blind Signatures. Cryptology,2000,13:361-396
4 Boneh D, Frank M. Identity Based Encryption from Weil Pairing.
Advances in Cryptography CRYPTO 2001,Springer-verlag,Lecture
Notes in Computer Science,2001,2139: 213-229
5 Castelluccia C. How to Convert any ID-based Signature Schemes into
a Group Signature Scheme. IACR Cryptology ePrint Archive:
Report 2002/116,/2002/116/,2002
6 Miller V. Short Programs for Functions on Curves. Unpublished
Manuscript,1986
7 Camenisch J, Stadler M. Efficient Group Signature for Large Groups.
Advances in Cryptology,CRYPTO'97,Lecture Notes in Computer
Science, Springer-verlag,1296,1997, 1070: 410-424
8 Camenisch J, Michels M. A Group Signature with Improved Efficie-
ncy. Advances in Cryptography,ASIACRYPT' 98,Springer-verlag,
Lecture Notes in Computer Science,1998,1514:160-174
—
83
—
版权声明:本文标题:IPv6_IPv4双协议栈以太网接入认证和移动技术 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1721578578a886179.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论