周黎,胡海涛
(攀枝花市生态环境信息与技术评估服务中心,四川 攀枝花 617000)
0 引 言信息系统(Information system),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,可以对信息的输入、存储、处理、输出和控制进行可靠的、快速的处理,极大地提高管理和生产的效率。为了防止非法的主体进入受保护的信息系统,访问控制技术应运而生。访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。密码技术是一种应用广泛、使用简单的访问控制技术。但在实际工作中,每个信息系统都建立一套账号密码,记忆和管理账号密码是一件麻烦且低效的事情。本文通过获取Web应用系统Cookie值,获取网络访问控制设备授权,实现单点登录,以达到网络访问控制。
本文实验目的是登录Web应用系统后,网络访问控制设备能侦测到系统登录前后Cookie变化信息,鉴别授权情况,并提取唯一指代信息注册用户,并授权访问网络,实现单点登录的功能。
1 实验原理Cookie是一个保存在客户机中的简单的文本文件, 这个文件与特定的Web文档关联在一起, 保存了该客户机访问这个Web文档时的信息, 当客户机再次访问这个Web文档时这些信息可供该文档使用。由于Cookie具有可以保存在客户机上的神奇特性,因此它可以帮助我们实现记录用户个人信息的功能,而这一切都不必使用复杂的CGI等程序。Cookie的类型为“小型文本文件”,是网站辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
访问Web服务时,会在客户机上留下Cookie记录,而且Web服务可以进行身份鉴别。利用身份鉴别成功与未授权时Cookie值的变化,可以确认客户机是否被授权。将此授权信息通过网络传输到网络访问控制设备,如本实验使用的上网行为管理器,网络访问控制设备提取授权信息中的Web账号登录名,并记录客户机的地址,本实验以MAC地址唯一指代客户机,将Web账号登录名和MAC地址进行绑定,注册为允许访问网络的授权用户,以达到控制网络访问的功能,同时避免了在网络访问控制设备上重复登陆的烦琐过程,实现单点登录效果。
之所以采用客户机的MAC地址作为用户名,而不采用更容易记忆和理解的IP地址,除了MAC地址本身可以唯一指代一台客户机外(伪造MAC地址的情形本文暂不考虑),是因为使用了DHCP技术。启用DHCP Server为客户机动态分配的IP地址,减轻了运维人员的工作强度,给管理带来便利,但客户机的IP地址却是变化的,无法唯一指代客户机。
2 实验步骤本文实验所涉及的设备有:Web应用系统,测试环境是自建的政务平台,上网行为管理器,测试设备是深信服上网行为管理器(版本AC12.0.42),网络交换设备,型号是浪潮S6550-24TQ-AC/D。
实验流程是获取政务平台登录和未登录状态的Cookie值,比较选取可用的Cookie,将登录数据镜像到上网行为管理器,上网行为管理器匹配预定的Cookie值,并配置认证策略放通网络访问。如图1所示。
图1 实验步骤
3 Cookie选取在浏览器访问政务平台登录地址,打开“开发人员工具”界面,在应用程序中可以查看Cookie值。分别在登录和未登录的状态下查看Cookie值,如表1所示。
表1 通过Web验证前后Cookie变化
登录后,多出3个Cookie值,分别是loginname、Login UserName、PORTAL_LOGIN_USER。LoginUserName对应的是登录账号,loginname对应的是用户姓名,loginname符合我们选取Cookie值的原则,可以作为实现单点登录的匹配Cookie。
4 镜像数据由于政务平台是发布于内网的服务器,访问政务平台的网络数据未通过上网行为管理设备,需要在交换机上(测试用交换机的型号是浪潮S6550-24TQ-AC/D,)将数据利用接口镜像技术发送到上网行为管理设备。
接口镜像功能是指将指定源接口的某些报文镜像到目的接口,即监视接口,而不影响正常报文转发的功能。交换机设备用户使用该功能可以监控某个接口的报文接收和发送情况,并分析相关网络状况,如图2所示。
接口镜像功能基本原理如图2所示。PC 1通过交换机的Gigaethernet1/1/22与访问Web服务器,交换机的Gigaethernet1/1/24与上网行为管理器设备连接。当要监测从PC 1发出的报文时,需要将PC 1所连接设备的Gigaethernet1/1/22指定为镜像源接口,并使能对入接口报文的镜像功能,而将Gigaethernet1/1/24指定为监视接口,即镜像目的接口。当Gigaethernet1/1/22发出的业务报文进入交换机时,交换机将对入报文进行转发,并复制一份到监视接口Gigaethernet1/1/24。连接在监视接口的监控设备可以接收这些被镜像的报文,并进行相关的分析工作。
图2 接口镜像功能原理示意图
浪潮S6550-24TQ-AC/D交换机设备支持基于入接口和出接口的数据流镜像。镜像功能生效后,出/入镜像接口的报文会被复制一份到监视接口。监视接口与镜像接口不能为同一个接口。镜像配置如下:
交换机1/1/9-22口转发客户机的网络数据,网络数据同时会镜像到24口,并通过24口发送到上网行为管理器,在上网行为管理器中启用镜像接口,上网行为管理器就可以侦测到访问政务平台的网络数据。
验证上网行为管理器是否可以正常接收数据包,可以采用“抓包”技术。抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。数据包分析使用Wireshark工具,Wireshark截取网络封包,并显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在客户机终端访问电子政务平台,上网行为管理器上抓包,监测并验证上网行为管理器是否可以正常抓取到数据包。数据包文件类型*.wcap,用Wireshark对数据包进行分析,网络数据包数据量很大,使用IP.addr = “测试终端IP地址”只显示测试终端的数据包,可过滤掉其他无用数据包,在通过追踪流,可以更清晰地看到政务平台Web应用的登录访问数据。如图3所示,编号6168的数据是访问Web应用的请求数据,已经可以查看到Cookie的loginname值,与我们设想的一样。可以验证数据抓取成功。
图3 政务平台网络访问数据分析
5 匹配Cookie值控制网络访问在上网行为管理器中启用Web单点登录,如图4所示,配置Web认证服务器的地址和端口,此处默认为80端口,类型配置为Cookie值,Cookie名为loginname。
图4 Web单点登录配置
由于交换机开启了三层路由模式,客户机Mac地址经过交换机后,Mac地址会变为交换机的Mac地址,如此就会造成上网行为管理器获取到错误的客户机Mac地址。可以启用上网行为管理器的跨三层获取Mac地址功能,通过分析镜像数据包中的ARP数据包获取内网用户的Mac地址。
配置完成后,开始测试功能。首先在未登录政务平台的情况下访问网络,访问失败。然后用户登录政务平台,上网行为管理器匹配访问政务平台的网络数据,监测到预先设置的Cookie值,标记为认证通过,将loginname值绑定Mac地址,并注册为用户名,录入到授权用户组中,如图5所示。此时终端访问网络正常,即登录政务平台的同时获得上网行为管理的登录权限。达到实验的预期效果。
图5 认证成功后用户注册
6 结 论通过本文实验,利用登录后Cookie值的变化,可以实现Web应用和上网行为管理器的单点登录功能和网络访问控制。上网行为管理器检索所有访问政务平台的数据流量,匹配到预定的Cookie值,即认为授权成功,解除网络访问限制,从而实现单点登录和网络访问控制。
