周黎，胡海濤

（攀枝花市生態(tài)環(huán)境信息與技術(shù)評(píng)估服務(wù)中心，四川 攀枝花 617000）

0 引 言

信息系統(tǒng)（Information system），是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)，可以對(duì)信息的輸入、存儲(chǔ)、處理、輸出和控制進(jìn)行可靠的、快速的處理，極大地提高管理和生產(chǎn)的效率。為了防止非法的主體進(jìn)入受保護(hù)的信息系統(tǒng)，訪問(wèn)控制技術(shù)應(yīng)運(yùn)而生。訪問(wèn)控制是幾乎所有系統(tǒng)（包括計(jì)算機(jī)系統(tǒng)和非計(jì)算機(jī)系統(tǒng)）都需要用到的一種技術(shù)。訪問(wèn)控制是按用戶身份及其所歸屬的某項(xiàng)定義組來(lái)限制用戶對(duì)某些信息項(xiàng)的訪問(wèn)，或限制對(duì)某些控制功能的使用的一種技術(shù)。訪問(wèn)控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問(wèn)。密碼技術(shù)是一種應(yīng)用廣泛、使用簡(jiǎn)單的訪問(wèn)控制技術(shù)。但在實(shí)際工作中，每個(gè)信息系統(tǒng)都建立一套賬號(hào)密碼，記憶和管理賬號(hào)密碼是一件麻煩且低效的事情。本文通過(guò)獲取Web應(yīng)用系統(tǒng)Cookie值，獲取網(wǎng)絡(luò)訪問(wèn)控制設(shè)備授權(quán)，實(shí)現(xiàn)單點(diǎn)登錄，以達(dá)到網(wǎng)絡(luò)訪問(wèn)控制。

本文實(shí)驗(yàn)?zāi)康氖堑卿沇eb應(yīng)用系統(tǒng)后，網(wǎng)絡(luò)訪問(wèn)控制設(shè)備能偵測(cè)到系統(tǒng)登錄前后Cookie變化信息，鑒別授權(quán)情況，并提取唯一指代信息注冊(cè)用戶，并授權(quán)訪問(wèn)網(wǎng)絡(luò)，實(shí)現(xiàn)單點(diǎn)登錄的功能。

1 實(shí)驗(yàn)原理

Cookie是一個(gè)保存在客戶機(jī)中的簡(jiǎn)單的文本文件, 這個(gè)文件與特定的Web文檔關(guān)聯(lián)在一起, 保存了該客戶機(jī)訪問(wèn)這個(gè)Web文檔時(shí)的信息, 當(dāng)客戶機(jī)再次訪問(wèn)這個(gè)Web文檔時(shí)這些信息可供該文檔使用。由于Cookie具有可以保存在客戶機(jī)上的神奇特性,因此它可以幫助我們實(shí)現(xiàn)記錄用戶個(gè)人信息的功能,而這一切都不必使用復(fù)雜的CGI等程序。Cookie的類型為“小型文本文件”，是網(wǎng)站辨別用戶身份，進(jìn)行Session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過(guò)加密），由用戶客戶端計(jì)算機(jī)暫時(shí)或永久保存的信息。

訪問(wèn)Web服務(wù)時(shí)，會(huì)在客戶機(jī)上留下Cookie記錄，而且Web服務(wù)可以進(jìn)行身份鑒別。利用身份鑒別成功與未授權(quán)時(shí)Cookie值的變化,可以確認(rèn)客戶機(jī)是否被授權(quán)。將此授權(quán)信息通過(guò)網(wǎng)絡(luò)傳輸?shù)骄W(wǎng)絡(luò)訪問(wèn)控制設(shè)備，如本實(shí)驗(yàn)使用的上網(wǎng)行為管理器，網(wǎng)絡(luò)訪問(wèn)控制設(shè)備提取授權(quán)信息中的Web賬號(hào)登錄名，并記錄客戶機(jī)的地址，本實(shí)驗(yàn)以MAC地址唯一指代客戶機(jī)，將Web賬號(hào)登錄名和MAC地址進(jìn)行綁定，注冊(cè)為允許訪問(wèn)網(wǎng)絡(luò)的授權(quán)用戶，以達(dá)到控制網(wǎng)絡(luò)訪問(wèn)的功能，同時(shí)避免了在網(wǎng)絡(luò)訪問(wèn)控制設(shè)備上重復(fù)登陸的煩瑣過(guò)程，實(shí)現(xiàn)單點(diǎn)登錄效果。

之所以采用客戶機(jī)的MAC地址作為用戶名，而不采用更容易記憶和理解的IP地址，除了MAC地址本身可以唯一指代一臺(tái)客戶機(jī)外（偽造MAC地址的情形本文暫不考慮），是因?yàn)槭褂昧薉HCP技術(shù)。啟用DHCP Server為客戶機(jī)動(dòng)態(tài)分配的IP地址，減輕了運(yùn)維人員的工作強(qiáng)度，給管理帶來(lái)便利，但客戶機(jī)的IP地址卻是變化的，無(wú)法唯一指代客戶機(jī)。

2 實(shí)驗(yàn)步驟

本文實(shí)驗(yàn)所涉及的設(shè)備有：Web應(yīng)用系統(tǒng)，測(cè)試環(huán)境是自建的政務(wù)平臺(tái)，上網(wǎng)行為管理器，測(cè)試設(shè)備是深信服上網(wǎng)行為管理器（版本AC12.0.42），網(wǎng)絡(luò)交換設(shè)備，型號(hào)是浪潮S6550-24TQ-AC/D。

實(shí)驗(yàn)流程是獲取政務(wù)平臺(tái)登錄和未登錄狀態(tài)的Cookie值，比較選取可用的Cookie，將登錄數(shù)據(jù)鏡像到上網(wǎng)行為管理器，上網(wǎng)行為管理器匹配預(yù)定的Cookie值，并配置認(rèn)證策略放通網(wǎng)絡(luò)訪問(wèn)。如圖1所示。

圖1 實(shí)驗(yàn)步驟

3 Cookie選取

在瀏覽器訪問(wèn)政務(wù)平臺(tái)登錄地址，打開(kāi)“開(kāi)發(fā)人員工具”界面，在應(yīng)用程序中可以查看Cookie值。分別在登錄和未登錄的狀態(tài)下查看Cookie值，如表1所示。

表1 通過(guò)Web驗(yàn)證前后Cookie變化

登錄后，多出3個(gè)Cookie值，分別是loginname、Login UserName、PORTAL_LOGIN_USER。LoginUserName對(duì)應(yīng)的是登錄賬號(hào)，loginname對(duì)應(yīng)的是用戶姓名，loginname符合我們選取Cookie值的原則，可以作為實(shí)現(xiàn)單點(diǎn)登錄的匹配Cookie。

4 鏡像數(shù)據(jù)

由于政務(wù)平臺(tái)是發(fā)布于內(nèi)網(wǎng)的服務(wù)器，訪問(wèn)政務(wù)平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)未通過(guò)上網(wǎng)行為管理設(shè)備，需要在交換機(jī)上（測(cè)試用交換機(jī)的型號(hào)是浪潮S6550-24TQ-AC/D，）將數(shù)據(jù)利用接口鏡像技術(shù)發(fā)送到上網(wǎng)行為管理設(shè)備。

接口鏡像功能是指將指定源接口的某些報(bào)文鏡像到目的接口，即監(jiān)視接口，而不影響正常報(bào)文轉(zhuǎn)發(fā)的功能。交換機(jī)設(shè)備用戶使用該功能可以監(jiān)控某個(gè)接口的報(bào)文接收和發(fā)送情況，并分析相關(guān)網(wǎng)絡(luò)狀況，如圖2所示。

接口鏡像功能基本原理如圖2所示。PC 1通過(guò)交換機(jī)的Gigaethernet1/1/22與訪問(wèn)Web服務(wù)器，交換機(jī)的Gigaethernet1/1/24與上網(wǎng)行為管理器設(shè)備連接。當(dāng)要監(jiān)測(cè)從PC 1發(fā)出的報(bào)文時(shí)，需要將PC 1所連接設(shè)備的Gigaethernet1/1/22指定為鏡像源接口，并使能對(duì)入接口報(bào)文的鏡像功能，而將Gigaethernet1/1/24指定為監(jiān)視接口，即鏡像目的接口。當(dāng)Gigaethernet1/1/22發(fā)出的業(yè)務(wù)報(bào)文進(jìn)入交換機(jī)時(shí)，交換機(jī)將對(duì)入報(bào)文進(jìn)行轉(zhuǎn)發(fā)，并復(fù)制一份到監(jiān)視接口Gigaethernet1/1/24。連接在監(jiān)視接口的監(jiān)控設(shè)備可以接收這些被鏡像的報(bào)文，并進(jìn)行相關(guān)的分析工作。

圖2 接口鏡像功能原理示意圖

浪潮S6550-24TQ-AC/D交換機(jī)設(shè)備支持基于入接口和出接口的數(shù)據(jù)流鏡像。鏡像功能生效后，出/入鏡像接口的報(bào)文會(huì)被復(fù)制一份到監(jiān)視接口。監(jiān)視接口與鏡像接口不能為同一個(gè)接口。鏡像配置如下：

交換機(jī)1/1/9-22口轉(zhuǎn)發(fā)客戶機(jī)的網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)同時(shí)會(huì)鏡像到24口，并通過(guò)24口發(fā)送到上網(wǎng)行為管理器,在上網(wǎng)行為管理器中啟用鏡像接口，上網(wǎng)行為管理器就可以偵測(cè)到訪問(wèn)政務(wù)平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)。

驗(yàn)證上網(wǎng)行為管理器是否可以正常接收數(shù)據(jù)包，可以采用“抓包”技術(shù)。抓包（packet capture）就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來(lái)檢查網(wǎng)絡(luò)安全。抓包也經(jīng)常被用來(lái)進(jìn)行數(shù)據(jù)截取等。數(shù)據(jù)包分析使用Wireshark工具，Wireshark截取網(wǎng)絡(luò)封包，并顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

在客戶機(jī)終端訪問(wèn)電子政務(wù)平臺(tái)，上網(wǎng)行為管理器上抓包，監(jiān)測(cè)并驗(yàn)證上網(wǎng)行為管理器是否可以正常抓取到數(shù)據(jù)包。數(shù)據(jù)包文件類型*.wcap，用Wireshark對(duì)數(shù)據(jù)包進(jìn)行分析，網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)量很大，使用IP.addr = “測(cè)試終端IP地址”只顯示測(cè)試終端的數(shù)據(jù)包，可過(guò)濾掉其他無(wú)用數(shù)據(jù)包，在通過(guò)追蹤流，可以更清晰地看到政務(wù)平臺(tái)Web應(yīng)用的登錄訪問(wèn)數(shù)據(jù)。如圖3所示，編號(hào)6168的數(shù)據(jù)是訪問(wèn)Web應(yīng)用的請(qǐng)求數(shù)據(jù)，已經(jīng)可以查看到Cookie的loginname值，與我們?cè)O(shè)想的一樣?？梢则?yàn)證數(shù)據(jù)抓取成功。

圖3 政務(wù)平臺(tái)網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)分析

5 匹配Cookie值控制網(wǎng)絡(luò)訪問(wèn)

在上網(wǎng)行為管理器中啟用Web單點(diǎn)登錄，如圖4所示，配置Web認(rèn)證服務(wù)器的地址和端口，此處默認(rèn)為80端口，類型配置為Cookie值，Cookie名為loginname。

圖4 Web單點(diǎn)登錄配置

由于交換機(jī)開(kāi)啟了三層路由模式，客戶機(jī)Mac地址經(jīng)過(guò)交換機(jī)后，Mac地址會(huì)變?yōu)榻粨Q機(jī)的Mac地址，如此就會(huì)造成上網(wǎng)行為管理器獲取到錯(cuò)誤的客戶機(jī)Mac地址?？梢詥⒂蒙暇W(wǎng)行為管理器的跨三層獲取Mac地址功能，通過(guò)分析鏡像數(shù)據(jù)包中的ARP數(shù)據(jù)包獲取內(nèi)網(wǎng)用戶的Mac地址。

配置完成后，開(kāi)始測(cè)試功能。首先在未登錄政務(wù)平臺(tái)的情況下訪問(wèn)網(wǎng)絡(luò)，訪問(wèn)失敗。然后用戶登錄政務(wù)平臺(tái)，上網(wǎng)行為管理器匹配訪問(wèn)政務(wù)平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)測(cè)到預(yù)先設(shè)置的Cookie值，標(biāo)記為認(rèn)證通過(guò)，將loginname值綁定Mac地址，并注冊(cè)為用戶名，錄入到授權(quán)用戶組中，如圖5所示。此時(shí)終端訪問(wèn)網(wǎng)絡(luò)正常，即登錄政務(wù)平臺(tái)的同時(shí)獲得上網(wǎng)行為管理的登錄權(quán)限。達(dá)到實(shí)驗(yàn)的預(yù)期效果。

圖5 認(rèn)證成功后用戶注冊(cè)

6 結(jié) 論

通過(guò)本文實(shí)驗(yàn)，利用登錄后Cookie值的變化，可以實(shí)現(xiàn)Web應(yīng)用和上網(wǎng)行為管理器的單點(diǎn)登錄功能和網(wǎng)絡(luò)訪問(wèn)控制。上網(wǎng)行為管理器檢索所有訪問(wèn)政務(wù)平臺(tái)的數(shù)據(jù)流量，匹配到預(yù)定的Cookie值，即認(rèn)為授權(quán)成功，解除網(wǎng)絡(luò)訪問(wèn)限制，從而實(shí)現(xiàn)單點(diǎn)登錄和網(wǎng)絡(luò)訪問(wèn)控制。