基于Cookie的單點(diǎn)登錄和網(wǎng)絡(luò)訪問控制研究

周黎，胡海濤

（攀枝花市生態(tài)環(huán)境信息與技術(shù)評估服務(wù)中心，四川 攀枝花 617000）

0 引 言

信息系統(tǒng)（Information system），是由計算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)，可以對信息的輸入、存儲、處理、輸出和控制進(jìn)行可靠的、快速的處理，極大地提高管理和生產(chǎn)的效率。為了防止非法的主體進(jìn)入受保護(hù)的信息系統(tǒng)，訪問控制技術(shù)應(yīng)運(yùn)而生。訪問控制是幾乎所有系統(tǒng)（包括計算機(jī)系統(tǒng)和非計算機(jī)系統(tǒng)）都需要用到的一種技術(shù)。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術(shù)。訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。密碼技術(shù)是一種應(yīng)用廣泛、使用簡單的訪問控制技術(shù)。但在實(shí)際工作中，每個信息系統(tǒng)都建立一套賬號密碼，記憶和管理賬號密碼是一件麻煩且低效的事情。本文通過獲取Web應(yīng)用系統(tǒng)Cookie值，獲取網(wǎng)絡(luò)訪問控制設(shè)備授權(quán)，實(shí)現(xiàn)單點(diǎn)登錄，以達(dá)到網(wǎng)絡(luò)訪問控制。

本文實(shí)驗?zāi)康氖堑卿沇eb應(yīng)用系統(tǒng)后，網(wǎng)絡(luò)訪問控制設(shè)備能偵測到系統(tǒng)登錄前后Cookie變化信息，鑒別授權(quán)情況，并提取唯一指代信息注冊用戶，并授權(quán)訪問網(wǎng)絡(luò)，實(shí)現(xiàn)單點(diǎn)登錄的功能。

1 實(shí)驗原理

Cookie是一個保存在客戶機(jī)中的簡單的文本文件, 這個文件與特定的Web文檔關(guān)聯(lián)在一起, 保存了該客戶機(jī)訪問這個Web文檔時的信息, 當(dāng)客戶機(jī)再次訪問這個Web文檔時這些信息可供該文檔使用。由于Cookie具有可以保存在客戶機(jī)上的神奇特性,因此它可以幫助我們實(shí)現(xiàn)記錄用戶個人信息的功能,而這一切都不必使用復(fù)雜的CGI等程序。Cookie的類型為“小型文本文件”，是網(wǎng)站辨別用戶身份，進(jìn)行Session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密），由用戶客戶端計算機(jī)暫時或永久保存的信息。

訪問Web服務(wù)時，會在客戶機(jī)上留下Cookie記錄，而且Web服務(wù)可以進(jìn)行身份鑒別。利用身份鑒別成功與未授權(quán)時Cookie值的變化,可以確認(rèn)客戶機(jī)是否被授權(quán)。將此授權(quán)信息通過網(wǎng)絡(luò)傳輸?shù)骄W(wǎng)絡(luò)訪問控制設(shè)備，如本實(shí)驗使用的上網(wǎng)行為管理器，網(wǎng)絡(luò)訪問控制設(shè)備提取授權(quán)信息中的Web賬號登錄名，并記錄客戶機(jī)的地址，本實(shí)驗以MAC地址唯一指代客戶機(jī)，將Web賬號登錄名和MAC地址進(jìn)行綁定，注冊為允許訪問網(wǎng)絡(luò)的授權(quán)用戶，以達(dá)到控制網(wǎng)絡(luò)訪問的功能，同時避免了在網(wǎng)絡(luò)訪問控制設(shè)備上重復(fù)登陸的煩瑣過程，實(shí)現(xiàn)單點(diǎn)登錄效果。

之所以采用客戶機(jī)的MAC地址作為用戶名，而不采用更容易記憶和理解的IP地址，除了MAC地址本身可以唯一指代一臺客戶機(jī)外（偽造MAC地址的情形本文暫不考慮），是因為使用了DHCP技術(shù)。啟用DHCP Server為客戶機(jī)動態(tài)分配的IP地址，減輕了運(yùn)維人員的工作強(qiáng)度，給管理帶來便利，但客戶機(jī)的IP地址卻是變化的，無法唯一指代客戶機(jī)。

2 實(shí)驗步驟

本文實(shí)驗所涉及的設(shè)備有：Web應(yīng)用系統(tǒng)，測試環(huán)境是自建的政務(wù)平臺，上網(wǎng)行為管理器，測試設(shè)備是深信服上網(wǎng)行為管理器（版本AC12.0.42），網(wǎng)絡(luò)交換設(shè)備，型號是浪潮S6550-24TQ-AC/D。

實(shí)驗流程是獲取政務(wù)平臺登錄和未登錄狀態(tài)的Cookie值，比較選取可用的Cookie，將登錄數(shù)據(jù)鏡像到上網(wǎng)行為管理器，上網(wǎng)行為管理器匹配預(yù)定的Cookie值，并配置認(rèn)證策略放通網(wǎng)絡(luò)訪問。如圖1所示。

圖1 實(shí)驗步驟

3 Cookie選取

在瀏覽器訪問政務(wù)平臺登錄地址，打開“開發(fā)人員工具”界面，在應(yīng)用程序中可以查看Cookie值。分別在登錄和未登錄的狀態(tài)下查看Cookie值，如表1所示。

表1 通過Web驗證前后Cookie變化

登錄后，多出3個Cookie值，分別是loginname、Login UserName、PORTAL_LOGIN_USER。LoginUserName對應(yīng)的是登錄賬號，loginname對應(yīng)的是用戶姓名，loginname符合我們選取Cookie值的原則，可以作為實(shí)現(xiàn)單點(diǎn)登錄的匹配Cookie。

4 鏡像數(shù)據(jù)

由于政務(wù)平臺是發(fā)布于內(nèi)網(wǎng)的服務(wù)器，訪問政務(wù)平臺的網(wǎng)絡(luò)數(shù)據(jù)未通過上網(wǎng)行為管理設(shè)備，需要在交換機(jī)上（測試用交換機(jī)的型號是浪潮S6550-24TQ-AC/D，）將數(shù)據(jù)利用接口鏡像技術(shù)發(fā)送到上網(wǎng)行為管理設(shè)備。

接口鏡像功能是指將指定源接口的某些報文鏡像到目的接口，即監(jiān)視接口，而不影響正常報文轉(zhuǎn)發(fā)的功能。交換機(jī)設(shè)備用戶使用該功能可以監(jiān)控某個接口的報文接收和發(fā)送情況，并分析相關(guān)網(wǎng)絡(luò)狀況，如圖2所示。

接口鏡像功能基本原理如圖2所示。PC 1通過交換機(jī)的Gigaethernet1/1/22與訪問Web服務(wù)器，交換機(jī)的Gigaethernet1/1/24與上網(wǎng)行為管理器設(shè)備連接。當(dāng)要監(jiān)測從PC 1發(fā)出的報文時，需要將PC 1所連接設(shè)備的Gigaethernet1/1/22指定為鏡像源接口，并使能對入接口報文的鏡像功能，而將Gigaethernet1/1/24指定為監(jiān)視接口，即鏡像目的接口。當(dāng)Gigaethernet1/1/22發(fā)出的業(yè)務(wù)報文進(jìn)入交換機(jī)時，交換機(jī)將對入報文進(jìn)行轉(zhuǎn)發(fā)，并復(fù)制一份到監(jiān)視接口Gigaethernet1/1/24。連接在監(jiān)視接口的監(jiān)控設(shè)備可以接收這些被鏡像的報文，并進(jìn)行相關(guān)的分析工作。

圖2 接口鏡像功能原理示意圖

浪潮S6550-24TQ-AC/D交換機(jī)設(shè)備支持基于入接口和出接口的數(shù)據(jù)流鏡像。鏡像功能生效后，出/入鏡像接口的報文會被復(fù)制一份到監(jiān)視接口。監(jiān)視接口與鏡像接口不能為同一個接口。鏡像配置如下：

交換機(jī)1/1/9-22口轉(zhuǎn)發(fā)客戶機(jī)的網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)同時會鏡像到24口，并通過24口發(fā)送到上網(wǎng)行為管理器,在上網(wǎng)行為管理器中啟用鏡像接口，上網(wǎng)行為管理器就可以偵測到訪問政務(wù)平臺的網(wǎng)絡(luò)數(shù)據(jù)。

驗證上網(wǎng)行為管理器是否可以正常接收數(shù)據(jù)包，可以采用“抓包”技術(shù)。抓包（packet capture）就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來檢查網(wǎng)絡(luò)安全。抓包也經(jīng)常被用來進(jìn)行數(shù)據(jù)截取等。數(shù)據(jù)包分析使用Wireshark工具，Wireshark截取網(wǎng)絡(luò)封包，并顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。

在客戶機(jī)終端訪問電子政務(wù)平臺，上網(wǎng)行為管理器上抓包，監(jiān)測并驗證上網(wǎng)行為管理器是否可以正常抓取到數(shù)據(jù)包。數(shù)據(jù)包文件類型*.wcap，用Wireshark對數(shù)據(jù)包進(jìn)行分析，網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)量很大，使用IP.addr = “測試終端IP地址”只顯示測試終端的數(shù)據(jù)包，可過濾掉其他無用數(shù)據(jù)包，在通過追蹤流，可以更清晰地看到政務(wù)平臺Web應(yīng)用的登錄訪問數(shù)據(jù)。如圖3所示，編號6168的數(shù)據(jù)是訪問Web應(yīng)用的請求數(shù)據(jù)，已經(jīng)可以查看到Cookie的loginname值，與我們設(shè)想的一樣。可以驗證數(shù)據(jù)抓取成功。

圖3 政務(wù)平臺網(wǎng)絡(luò)訪問數(shù)據(jù)分析

5 匹配Cookie值控制網(wǎng)絡(luò)訪問

在上網(wǎng)行為管理器中啟用Web單點(diǎn)登錄，如圖4所示，配置Web認(rèn)證服務(wù)器的地址和端口，此處默認(rèn)為80端口，類型配置為Cookie值，Cookie名為loginname。

圖4 Web單點(diǎn)登錄配置

由于交換機(jī)開啟了三層路由模式，客戶機(jī)Mac地址經(jīng)過交換機(jī)后，Mac地址會變?yōu)榻粨Q機(jī)的Mac地址，如此就會造成上網(wǎng)行為管理器獲取到錯誤的客戶機(jī)Mac地址。可以啟用上網(wǎng)行為管理器的跨三層獲取Mac地址功能，通過分析鏡像數(shù)據(jù)包中的ARP數(shù)據(jù)包獲取內(nèi)網(wǎng)用戶的Mac地址。

配置完成后，開始測試功能。首先在未登錄政務(wù)平臺的情況下訪問網(wǎng)絡(luò)，訪問失敗。然后用戶登錄政務(wù)平臺，上網(wǎng)行為管理器匹配訪問政務(wù)平臺的網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)測到預(yù)先設(shè)置的Cookie值，標(biāo)記為認(rèn)證通過，將loginname值綁定Mac地址，并注冊為用戶名，錄入到授權(quán)用戶組中，如圖5所示。此時終端訪問網(wǎng)絡(luò)正常，即登錄政務(wù)平臺的同時獲得上網(wǎng)行為管理的登錄權(quán)限。達(dá)到實(shí)驗的預(yù)期效果。

圖5 認(rèn)證成功后用戶注冊

6 結(jié) 論

通過本文實(shí)驗，利用登錄后Cookie值的變化，可以實(shí)現(xiàn)Web應(yīng)用和上網(wǎng)行為管理器的單點(diǎn)登錄功能和網(wǎng)絡(luò)訪問控制。上網(wǎng)行為管理器檢索所有訪問政務(wù)平臺的數(shù)據(jù)流量，匹配到預(yù)定的Cookie值，即認(rèn)為授權(quán)成功，解除網(wǎng)絡(luò)訪問限制，從而實(shí)現(xiàn)單點(diǎn)登錄和網(wǎng)絡(luò)訪問控制。