張平 鄭津 汪立欣

1.西南石油大學現(xiàn)代教育技術中心, 四川 成都 610500

2.西南石油大學計算機科學學院, 四川 成都 610500

引言

隨著高校信息化建設的推進，各高校逐步建立統(tǒng)一的校園網(wǎng)數(shù)字化平臺，集成了諸如教務管理系統(tǒng)、財務管理系統(tǒng)等一系列已有或新建的校園網(wǎng)子系統(tǒng)。校園網(wǎng)絡的安全管理成為校園網(wǎng)絡管理的重點。其中，黑客攻擊近年來已成為突出問題。本文從校園網(wǎng)絡黑客攻擊的源頭著手，分析其典型類型和特點，將SSO（Single Sign-On，以下簡稱SSO）機制引入到校園網(wǎng)絡的認證機制中，提出一整套基于SSO機制的校園網(wǎng)絡安全黑客防范方法。

1 校園網(wǎng)絡黑客問題分析

“黑客”一詞，現(xiàn)在多用來泛指那些專門利用計算機通過網(wǎng)絡進行破壞或入侵他人系統(tǒng)或網(wǎng)絡，在網(wǎng)絡上進行破壞的人或行為。近年來，隨著計算機技術的普及以及網(wǎng)絡黑客工具資源的泛濫，校園網(wǎng)絡遭受黑客攻擊的事例屢見不鮮。

從本質(zhì)上來說，校園網(wǎng)絡黑客攻擊的實施人主要來自校園網(wǎng)絡內(nèi)部，其目的歸結(jié)起來分兩大類，一類是黑客攻擊實施者出于好奇或炫耀的目的，將校園網(wǎng)絡作為練習黑客技術或顯示黑客能力的平臺，而另一類則是有目的性地攻擊特定校園網(wǎng)絡節(jié)點滿足私自利益，例如希望通過侵入教務管理系統(tǒng)，來修改個人資料和學習成績。

另一方面，校園網(wǎng)絡是一個相對封閉的網(wǎng)路系統(tǒng)，導致黑客攻擊的手段不像公網(wǎng)環(huán)境中那樣復雜多樣，一般分為網(wǎng)絡嗅探工具攻擊，木馬或系統(tǒng)漏洞入侵、網(wǎng)絡共享入侵等幾種主要類型。校園網(wǎng)絡下各個子系統(tǒng)之間復雜度不均勻，其運行平臺、系統(tǒng)架構、處理流程等皆因工作性質(zhì)不同而不一，僅采用普通的部署“防火墻+反黑客軟件”的方法費時費力，甚至可能導致校園網(wǎng)絡運行的不暢，帶來不可估量的損失。鑒于校園網(wǎng)絡受眾的特殊性，本文設計了一整套基于SSO機制的校園網(wǎng)絡安全黑客防范的辦法。

2 基于SSO機制的黑客防范辦法

SSO機制中文一般譯為單點登錄機制，是指允許用戶通過一次性地驗證登錄，便可獲得目標系統(tǒng)預設的授權訪問，其技術特點可被用來防范和應對校園網(wǎng)絡安全黑客攻擊行為。SSO的實現(xiàn)機制分為多種，大體分為基于客戶端的Cookie機制和基于服務器端的Session機制兩大類。本文結(jié)合實際，提出的方法是采用Cookie機制實現(xiàn)，該方案的處理流程大致分為以下幾步：

（1）用戶初次登錄認證：該步驟采用“用戶名+密碼”方式實現(xiàn)用戶端與服務器端的會話，目的是初步過濾非法用戶的訪問請求。該步驟的具體流程是首先用戶端來將認證信息加密壓縮后，傳輸?shù)秸J證服務器進行驗證，若驗證通過，則用戶認證成功，同時，用戶端在認證成功后，將認證服務器返回來的用戶權限信息同認證信息一起打包為用戶令牌（User Token，以下簡稱UT），為后續(xù)SSO操作做好準備。

（2）用戶端SSO認證：在初次登錄認證通過后，若用戶端產(chǎn)生新的針對不同校園網(wǎng)絡節(jié)點的應用申請，則系統(tǒng)自動啟動用戶端SSO認證機制，主要是搜尋UT中的用戶權限與當前應用申請之間是否相符，如相符，則由SSO認證機制提示用戶驗證成功，并更新用戶界面，同時在后臺將用戶當前應用申請重定向到對應服務器節(jié)點。

（3）服務器端SSO認證：當校園網(wǎng)絡某服務器節(jié)點收到SSO類型的應用請求后，自動解析該請求包含的用戶權限信息，與服務器端的用戶信息權限表作二次比對，若比對成功，則打開相關Web應用數(shù)據(jù)通路，并將相關標識、口令及通路信息反饋給用戶端。

（4）用戶權限管理：用戶權限管理實現(xiàn)系統(tǒng)管理員根據(jù)預先設定的用戶角色和操作權限，對系統(tǒng)進行用戶權限的管理和角色的分配?？紤]到該步驟的工作量大，且盡可能保證校園網(wǎng)絡各用戶單位實時更新的效率，實際中，用戶權限管理是由校級系統(tǒng)管理員與二級單位管理員來協(xié)同完成的，一般采用用戶自行注冊并申請崗位或角色所需應用系統(tǒng)的訪問權限，然后由管理員進行審核批準，當審核通過后才能給用戶開通應用系統(tǒng)的訪問權限，并記錄到服務器中。

3 本方案防范特點分析

如前所述，基于SSO的校園網(wǎng)絡黑客防范方法可以從三個層面上對黑客行為進行防范，包括：

（1）用戶初次登錄認證作為第一層防范，是所有校園網(wǎng)絡用戶初次使用校園網(wǎng)時所必須經(jīng)歷的步驟，其缺點是黑客可能通過木馬或系統(tǒng)漏洞截獲正常用戶的登錄信息，這種情況可在第二層防范中避免。

（2）在用戶端SSO認證過程中，若用戶端提出的應用請求超出了其預設的應用權限，則系統(tǒng)不予通過，如校園網(wǎng)絡的學生用戶如提出訪問保衛(wèi)處天網(wǎng)服務器，超出了其預設的訪問權限，系統(tǒng)自動過濾。這樣，很好地避免了偽裝正常用戶初次登錄信息，進入系統(tǒng)后恣意進行偽應用請求的情況。但該層次的防范也有漏洞，即如果黑客進行的是正常用戶合法權限的應用申請，則不能杜絕其順利進入相關服務器節(jié)點。這種情況的處理放在了第三層防范。

（2）服務器端SSO認證作為最后一層防范，可有效避免在第二層防范中無法甄別的情況。例如，黑客偽裝學生用戶申請進入教務管理系統(tǒng)服務器，這種應用申請是合法的，但該類用戶的應用操作會受到學生用戶角色權限的限制，如果該次應用中提出了修改教務管理系統(tǒng)中的成績數(shù)據(jù)，則服務器端SSO認證會拒絕。這樣，即使黑客能夠順利地侵入到服務器， SSO認證機制中的操作權限限制機制也會將黑客在服務器上的行為限制在正常范圍內(nèi)，將黑客帶來的損失降到最低。

4 結(jié)語

綜上所述，校園網(wǎng)絡的黑客問題防治策略應依托校園網(wǎng)絡實際情況進行設計和建設，一是校園網(wǎng)絡數(shù)據(jù)價值有限，其黑客行為實施群體的目的性和技術性比較單一，二是校園網(wǎng)絡的架構和配置是與校園各用戶單位的職能緊密相關，所以應從管理標準化、流程規(guī)范化著手設計黑客防范辦法。本文引入SSO機制，可有效保證校園網(wǎng)絡安全性、可行性、健壯性的同時，又考慮了校園網(wǎng)絡運行和維護的實際需求，具有一定的實用價值。

[1]施正曄.SSO單點登錄模型的優(yōu)化研究[J].計算機光盤軟件與應用,2012年,07期：190-191

[1]譚臻.校園網(wǎng)絡安全管理中的黑客入侵與防范[J]. 計算機安全,2007年,10期：99-101

[2]崔勝.黑客入侵防范技術淺析[J].福建電腦,2012年,09期：65-66

[3]丁永健.計算機網(wǎng)絡風險的防范措施分析[J].信息與電腦(理論版), 2011年, 08期：48-50