基于SAVI的IPv6接入認證系統設計

劉洋

摘? 要： 為了提高用戶接入互聯網的安全性，文中設計一款基于SAVI技術的IPv6接入認證系統。該系統基于充分的用戶調研和技術分析，在Web認證方法的基礎上，引入SAVI源地址驗證技術。經實驗測試表明，該系統可以抵抗分布式拒絕服務攻擊，屏蔽無合法權限和偽造源地址的非法用戶訪問，進一步提高了新一代移動互聯網的安全性防護水平。

關鍵詞： 接入認證系統; IPv6接入; 非法用戶屏蔽; 抵抗攻擊; 網絡路由器; 網絡安全

中圖分類號： TN918.912?34; TP311.52? ? ? ? ? ? ? ? ?文獻標識碼： A? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）16?0075?04

0? 引? 言

隨著計算機和網絡技術的發展，IPv4的局限性不斷地顯現出來，嚴重破壞了互聯網的環境安全。在誕生之初，傳統的IPv4技術并沒有考慮網絡源地址的真實性問題，所以在使用IPv4技術時，網絡中的路由只能使用數據報文的目的地址轉發數據。而對這些地址的真實性沒有任何驗證，這直接導致攻擊者可以隨意偽造IP地址，開展IP欺騙等一系列分布式拒絕服務攻擊（DDoS）[1?2]。根據2016年DDoS攻擊的統計報告顯示，這一類攻擊具有多種手段和海量流量的特點，其峰值攻擊流量已經接近400 GB。而持續時間超越了45天，向互聯網的安全環境提出了嚴峻的挑戰。如何驗證網絡數據源地址的真實性，成為了網絡安全技術中亟待解決的一個重要課題[3?4]。為了避免受到DDoS攻擊，新一代的IPv6技術在設計階段就考慮了源地址真實性的驗證問題[5]。該種技術也被稱為接入認證技術，其主要原理是使用唯一的標識確定每一位用戶的操作權限，從而控制用戶在網絡中的各種行為[6?7]。隨著IPv6技術的持續部署，如何提高網絡的安全性和可管理性，逐漸成為IPv6技術廣泛應用所面臨的下一個主要問題[8?9]。為了實現IPv6網絡技術的移動終端用戶源地址真實性的驗證，本文在充分調研不同驗證技術的基礎上，選取了SAVI技術實現IPv6協議的源地址驗證。同時，完成了用戶接入認證系統的整體設計。

1? SAVI技術

2009年4月，清華大學提出一種源地址合法性檢驗的RFC草案，即SAVI（Source Address Validating）技術。這一草案提出一種適用于IPv4和IPv6協議的Control Packet Snooping（CPS）原理，即通過綁定終端處理設備與網絡路由之間的源地址，從而有效判斷接入設備報文源地址的真實性。從提出開始，SAVI技術始終處于不斷的發展過程中，逐漸形成了一種包含監聽、綁定和驗證的框架模型，如圖1所示。

如圖1所示，SAVI技術對于源地址真實性的驗證過程可以分為3步：

1） 當用戶終端設備接入網絡之后，該技術需要監聽接入用戶的數據請求包，從而獲取網絡分配用戶的真實IP地址;

2） 綁定用戶的真實IP地址及難以偽造的網絡屬性數據，提高用戶源地址的防偽性;

3） 在綁定之后，當用戶通過網絡交換數據時，SAVI技術根據綁定的結果可以判斷接收數據的真實來源。若數據包不是來自于用戶的真實數據，則拒絕轉發該數據包。

2? 總體架構設計方案

接入認證系統是一種能夠對網絡用戶身份進行管理的技術，有效地維護了互聯網的安全運營。本文基于SAVI技術，設計了一種兼容IPv4網絡環境的接入認證系統，避免未被授權用戶通過偽造源地址接入互聯網。該系統的總體架構如圖2所示。

圖中：移動終端是指用戶接入網絡的多種移動設備，包括手機、筆記本電腦等智能終端;接入交換機是系統的核心設備，主要負責移動終端的訪問控制;認證服務器由Web認證服務器和本地數據庫組成，其主要功能是存儲用戶的身份和個人指紋等相關信息;DHCP服務器主要承擔網絡地址的配置服務，即利用DHCP配置協議為用戶提供相關的網絡配置信息。

3? 模塊設計與測試

根據系統的架構，本文系統主要由移動終端、接入交換機、DHCP和認證服務器等組成。接入交換機和認證服務器，是系統實現接入認證功能的關鍵設備。其中，接入交換機可分為SAVI模塊、通信模塊、HTTP重定向模塊和SNMP代理模塊等。而認證服務器可分為Web服務器和數據庫服務器，其具體設計與測試分析如下所述。

3.1? SAVI模塊

SAVI模塊是利用訪問控制列表實現用戶訪問控制的設備模塊。具體而言，該模塊使用訪問控制列表對接入的網絡用戶進行分組和過濾。同時通過分析數據包的IP和物理地址等端口信息，制定相應的轉發控制策略。SAVI模塊的框架如圖3所示。

在SAVI模塊中，所有的程序主要可分為監聽抓包、報文分析、綁定管理和過濾執行等部分。

1） 監聽抓包。用戶的移動終端利用DHCP服務器得到相關網絡配置信息，在進行HTTP請求的同時，將運行相應的監聽抓包程序，分析其數據報文。通常，監聽抓包程序的執行需要使用libpcap函數庫，其程序結構如圖4所示。其中，libpcap函數庫主要用于捕獲報文，適用于Unix和Linux等類Unix操作系統，而且提供可供用戶調用的編程接口，利用Socket套接字和函數接口將數據復制到過濾器中，且使用BSD Packet Filter過濾算法獲取特定的報文。

2） 報文分析。從監聽抓包的過程中，系統利用報文關鍵字即可區分不同類型的報文，隨后對這些報文進行不同的處理。一般而言，用戶的IP源地址信息是系統的一個重要指標。在轉發某地址的數據時，接入交換機將加入一個特殊的TAG信息，形成攜帶管理信息的數據包，其格式如圖5所示。

在系統數據包中，各個部分的長度如表1所示。

3） 綁定管理。在系統的接入認證中，管理綁定表是指存儲和管理維護報文分析之后的數據，即修改、插入或調用相應的數據。其中，在綁定表中存儲信息應包括用戶的IP地址等多元組信息，具體數據結構如圖6所示。

圖6中，Key（4 B）是系統網絡協議的類型字段，承擔區分IPv4和IPv6的作用;IP（16 B）存儲用戶的真實IP地址;MAC（6 B）存儲硬件的地址;Port（4 B）存儲網絡設備的端口信息;Vlan（4 B）存儲交換機中的局域網信息;Value（4 B）存儲系統的認證結果，即訪問控制列表的數值。在實際運行中，其執行流程如圖7所示。

4） 過濾執行。接入認證系統需要使用ACL表格對所有接入用戶的訪問進行過濾，從而維持合法用戶的訪問。在實際運行過程中，系統的過濾主要由交換機中的芯片承擔。同時需要使用高層接口進行過濾、封裝和處理，其執行接口的層次如圖8所示。

3.2? 通信模塊

在接入認證系統中，通信模塊的主要作用是保障不同模塊之間的數據通信。在通信模塊中，其框架是一個使用IPC機制的C/S模型。通信模塊的架構圖如圖9所示。

在通信模塊的工作過程中，服務器端使用函數listen（）隨時檢測客戶端的請求信息。當客戶端發送連接的請求之后，則通信模塊需要執行一系列的工作流程，如圖10所示。

3.3? HTTP重定向模塊

當SAVI模塊將用戶的多種信息添加至綁定表之后，用戶還需要和認證服務器進行交互，從而確認用戶的合法身份。而HTTP重定向模塊主要負責將用戶的HTTP請求重定向到認證服務器，認證服務器負責對用戶的具體信息做真實性驗證，實現用戶的訪問控制。該模塊的功能結構如圖11所示。

根據模塊的內部功能，HTTP重定向模塊主要可分為地址轉換模塊和HTTP服務模塊。其中，地址轉換模塊是將用戶請求的目的地址轉換為服務器的地址，修改請求報文，偽裝實現主機響應;HTTP服務模塊需要和用戶的終端實現TCP連接，同時將重定向的報文發送到用戶的終端，令該終端順利地重定向到認證服務器中，完成最后的身份認證過程。

4? 結? 語

基于SAVI技術，本文設計了一個兼容IPv4協議的高效IPv6接入認證系統。該系統的安全性主要依賴于SAVI技術，但此技術依舊處于不斷地發展過程中。這也意味著該技術還存在一些優化的空間，所以本文設計的系統也依然存在一些優化和改進的潛力，未來將致力于這一方向的研究。

參考文獻

[1] GOMEZ C， PARADELLS J， BORMANN C， et al. From 6LoWPAN to 6Lo： expanding the universe of IPv6?supported technologies for the internet of things [J]. IEEE communications magazine， 2017， 55（12）： 148?155.

[2] ZHU Y H， QIU S W， CHI K K， et al. Latency aware IPv6 packet delivery scheme over IEEE 802.15.4 based battery?free wireless sensor networks [J]. IEEE transactions on mobile computing， 2017， 16（6）： 1691?1704.

[3] MURALIDHARAN S， SAHU B J R， SAXENA N， et al. PPT： a push pull traffic algorithm to improve QoS provisioning in IoT?NDN environment [J]. IEEE communications letters， 2017， 21（6）： 1417?1420.

[4] MAKAYA C， PIERRE S. An analytical framework for performance evaluation of IPv6?Based mobility management protocols [J]. IEEE transactions on wireless communications， 2008， 7（3）： 972?983.

[5] WEBER S， CHENG L. A survey of anycast in IPv6 networks [J]. IEEE communications magazine， 2004， 42（1）： 127?132.

[6] STALLINGS W. IPv6： the new internet protocol [J]. IEEE communications magazine， 1996， 34（7）： 96?108.

[7] LEE J H， BONNIN J M， YOU I， et al. Comparative handover performance analysis of IPv6 mobility management protocols [J]. IEEE transactions on industrial electronics， 2013， 60（3）： 1077?1088.

[8] KONG K S， LEE W J， HAN Y H， et al. Mobility management for all?IP mobile networks： mobile IPv6 vs. proxy mobile IPv6 [J]. IEEE wireless communications， 2008， 15（2）： 36?45.

[9] SORNLERTLAMVANICH P， KAMOLPHIWONG S. Host?based and network?based distributed mobility management for NEMO [J]. IEICE transactions on communications， 2017， 100（1）： 67?74.

[10] 黃曉華.物聯網環境下IPv6與IPv4共存與過渡分析[J].通訊世界，2018（10）：63?64.

HUANG Xiaohua. Coexistence and transition analysis of IPv6 and IPv4 in the Internet of things environment [J]. Telecom world， 2018（10）： 63?64.