張平 鄭津 汪立欣

1.西南石油大學(xué)現(xiàn)代教育技術(shù)中心, 四川 成都 610500

2.西南石油大學(xué)計(jì)算機(jī)科學(xué)學(xué)院, 四川 成都 610500

引言

隨著高校信息化建設(shè)的推進(jìn)，各高校逐步建立統(tǒng)一的校園網(wǎng)數(shù)字化平臺(tái)，集成了諸如教務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等一系列已有或新建的校園網(wǎng)子系統(tǒng)。校園網(wǎng)絡(luò)的安全管理成為校園網(wǎng)絡(luò)管理的重點(diǎn)。其中，黑客攻擊近年來(lái)已成為突出問(wèn)題。本文從校園網(wǎng)絡(luò)黑客攻擊的源頭著手，分析其典型類(lèi)型和特點(diǎn)，將SSO（Single Sign-On，以下簡(jiǎn)稱(chēng)SSO）機(jī)制引入到校園網(wǎng)絡(luò)的認(rèn)證機(jī)制中，提出一整套基于SSO機(jī)制的校園網(wǎng)絡(luò)安全黑客防范方法。

1 校園網(wǎng)絡(luò)黑客問(wèn)題分析

“黑客”一詞，現(xiàn)在多用來(lái)泛指那些專(zhuān)門(mén)利用計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)進(jìn)行破壞或入侵他人系統(tǒng)或網(wǎng)絡(luò)，在網(wǎng)絡(luò)上進(jìn)行破壞的人或行為。近年來(lái)，隨著計(jì)算機(jī)技術(shù)的普及以及網(wǎng)絡(luò)黑客工具資源的泛濫，校園網(wǎng)絡(luò)遭受黑客攻擊的事例屢見(jiàn)不鮮。

從本質(zhì)上來(lái)說(shuō)，校園網(wǎng)絡(luò)黑客攻擊的實(shí)施人主要來(lái)自校園網(wǎng)絡(luò)內(nèi)部，其目的歸結(jié)起來(lái)分兩大類(lèi)，一類(lèi)是黑客攻擊實(shí)施者出于好奇或炫耀的目的，將校園網(wǎng)絡(luò)作為練習(xí)黑客技術(shù)或顯示黑客能力的平臺(tái)，而另一類(lèi)則是有目的性地攻擊特定校園網(wǎng)絡(luò)節(jié)點(diǎn)滿(mǎn)足私自利益，例如希望通過(guò)侵入教務(wù)管理系統(tǒng)，來(lái)修改個(gè)人資料和學(xué)習(xí)成績(jī)。

另一方面，校園網(wǎng)絡(luò)是一個(gè)相對(duì)封閉的網(wǎng)路系統(tǒng)，導(dǎo)致黑客攻擊的手段不像公網(wǎng)環(huán)境中那樣復(fù)雜多樣，一般分為網(wǎng)絡(luò)嗅探工具攻擊，木馬或系統(tǒng)漏洞入侵、網(wǎng)絡(luò)共享入侵等幾種主要類(lèi)型。校園網(wǎng)絡(luò)下各個(gè)子系統(tǒng)之間復(fù)雜度不均勻，其運(yùn)行平臺(tái)、系統(tǒng)架構(gòu)、處理流程等皆因工作性質(zhì)不同而不一，僅采用普通的部署“防火墻+反黑客軟件”的方法費(fèi)時(shí)費(fèi)力，甚至可能導(dǎo)致校園網(wǎng)絡(luò)運(yùn)行的不暢，帶來(lái)不可估量的損失。鑒于校園網(wǎng)絡(luò)受眾的特殊性，本文設(shè)計(jì)了一整套基于SSO機(jī)制的校園網(wǎng)絡(luò)安全黑客防范的辦法。

2 基于SSO機(jī)制的黑客防范辦法

SSO機(jī)制中文一般譯為單點(diǎn)登錄機(jī)制，是指允許用戶(hù)通過(guò)一次性地驗(yàn)證登錄，便可獲得目標(biāo)系統(tǒng)預(yù)設(shè)的授權(quán)訪問(wèn)，其技術(shù)特點(diǎn)可被用來(lái)防范和應(yīng)對(duì)校園網(wǎng)絡(luò)安全黑客攻擊行為。SSO的實(shí)現(xiàn)機(jī)制分為多種，大體分為基于客戶(hù)端的Cookie機(jī)制和基于服務(wù)器端的Session機(jī)制兩大類(lèi)。本文結(jié)合實(shí)際，提出的方法是采用Cookie機(jī)制實(shí)現(xiàn)，該方案的處理流程大致分為以下幾步：

（1）用戶(hù)初次登錄認(rèn)證：該步驟采用“用戶(hù)名+密碼”方式實(shí)現(xiàn)用戶(hù)端與服務(wù)器端的會(huì)話(huà)，目的是初步過(guò)濾非法用戶(hù)的訪問(wèn)請(qǐng)求。該步驟的具體流程是首先用戶(hù)端來(lái)將認(rèn)證信息加密壓縮后，傳輸?shù)秸J(rèn)證服務(wù)器進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，則用戶(hù)認(rèn)證成功，同時(shí)，用戶(hù)端在認(rèn)證成功后，將認(rèn)證服務(wù)器返回來(lái)的用戶(hù)權(quán)限信息同認(rèn)證信息一起打包為用戶(hù)令牌（User Token，以下簡(jiǎn)稱(chēng)UT），為后續(xù)SSO操作做好準(zhǔn)備。

（2）用戶(hù)端SSO認(rèn)證：在初次登錄認(rèn)證通過(guò)后，若用戶(hù)端產(chǎn)生新的針對(duì)不同校園網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用申請(qǐng)，則系統(tǒng)自動(dòng)啟動(dòng)用戶(hù)端SSO認(rèn)證機(jī)制，主要是搜尋UT中的用戶(hù)權(quán)限與當(dāng)前應(yīng)用申請(qǐng)之間是否相符，如相符，則由SSO認(rèn)證機(jī)制提示用戶(hù)驗(yàn)證成功，并更新用戶(hù)界面，同時(shí)在后臺(tái)將用戶(hù)當(dāng)前應(yīng)用申請(qǐng)重定向到對(duì)應(yīng)服務(wù)器節(jié)點(diǎn)。

（3）服務(wù)器端SSO認(rèn)證：當(dāng)校園網(wǎng)絡(luò)某服務(wù)器節(jié)點(diǎn)收到SSO類(lèi)型的應(yīng)用請(qǐng)求后，自動(dòng)解析該請(qǐng)求包含的用戶(hù)權(quán)限信息，與服務(wù)器端的用戶(hù)信息權(quán)限表作二次比對(duì)，若比對(duì)成功，則打開(kāi)相關(guān)Web應(yīng)用數(shù)據(jù)通路，并將相關(guān)標(biāo)識(shí)、口令及通路信息反饋給用戶(hù)端。

（4）用戶(hù)權(quán)限管理：用戶(hù)權(quán)限管理實(shí)現(xiàn)系統(tǒng)管理員根據(jù)預(yù)先設(shè)定的用戶(hù)角色和操作權(quán)限，對(duì)系統(tǒng)進(jìn)行用戶(hù)權(quán)限的管理和角色的分配?？紤]到該步驟的工作量大，且盡可能保證校園網(wǎng)絡(luò)各用戶(hù)單位實(shí)時(shí)更新的效率，實(shí)際中，用戶(hù)權(quán)限管理是由校級(jí)系統(tǒng)管理員與二級(jí)單位管理員來(lái)協(xié)同完成的，一般采用用戶(hù)自行注冊(cè)并申請(qǐng)崗位或角色所需應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，然后由管理員進(jìn)行審核批準(zhǔn)，當(dāng)審核通過(guò)后才能給用戶(hù)開(kāi)通應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，并記錄到服務(wù)器中。

3 本方案防范特點(diǎn)分析

如前所述，基于SSO的校園網(wǎng)絡(luò)黑客防范方法可以從三個(gè)層面上對(duì)黑客行為進(jìn)行防范，包括：

（1）用戶(hù)初次登錄認(rèn)證作為第一層防范，是所有校園網(wǎng)絡(luò)用戶(hù)初次使用校園網(wǎng)時(shí)所必須經(jīng)歷的步驟，其缺點(diǎn)是黑客可能通過(guò)木馬或系統(tǒng)漏洞截獲正常用戶(hù)的登錄信息，這種情況可在第二層防范中避免。

（2）在用戶(hù)端SSO認(rèn)證過(guò)程中，若用戶(hù)端提出的應(yīng)用請(qǐng)求超出了其預(yù)設(shè)的應(yīng)用權(quán)限，則系統(tǒng)不予通過(guò)，如校園網(wǎng)絡(luò)的學(xué)生用戶(hù)如提出訪問(wèn)保衛(wèi)處天網(wǎng)服務(wù)器，超出了其預(yù)設(shè)的訪問(wèn)權(quán)限，系統(tǒng)自動(dòng)過(guò)濾。這樣，很好地避免了偽裝正常用戶(hù)初次登錄信息，進(jìn)入系統(tǒng)后恣意進(jìn)行偽應(yīng)用請(qǐng)求的情況。但該層次的防范也有漏洞，即如果黑客進(jìn)行的是正常用戶(hù)合法權(quán)限的應(yīng)用申請(qǐng)，則不能杜絕其順利進(jìn)入相關(guān)服務(wù)器節(jié)點(diǎn)。這種情況的處理放在了第三層防范。

（2）服務(wù)器端SSO認(rèn)證作為最后一層防范，可有效避免在第二層防范中無(wú)法甄別的情況。例如，黑客偽裝學(xué)生用戶(hù)申請(qǐng)進(jìn)入教務(wù)管理系統(tǒng)服務(wù)器，這種應(yīng)用申請(qǐng)是合法的，但該類(lèi)用戶(hù)的應(yīng)用操作會(huì)受到學(xué)生用戶(hù)角色權(quán)限的限制，如果該次應(yīng)用中提出了修改教務(wù)管理系統(tǒng)中的成績(jī)數(shù)據(jù)，則服務(wù)器端SSO認(rèn)證會(huì)拒絕。這樣，即使黑客能夠順利地侵入到服務(wù)器， SSO認(rèn)證機(jī)制中的操作權(quán)限限制機(jī)制也會(huì)將黑客在服務(wù)器上的行為限制在正常范圍內(nèi)，將黑客帶來(lái)的損失降到最低。

4 結(jié)語(yǔ)

綜上所述，校園網(wǎng)絡(luò)的黑客問(wèn)題防治策略應(yīng)依托校園網(wǎng)絡(luò)實(shí)際情況進(jìn)行設(shè)計(jì)和建設(shè)，一是校園網(wǎng)絡(luò)數(shù)據(jù)價(jià)值有限，其黑客行為實(shí)施群體的目的性和技術(shù)性比較單一，二是校園網(wǎng)絡(luò)的架構(gòu)和配置是與校園各用戶(hù)單位的職能緊密相關(guān)，所以應(yīng)從管理標(biāo)準(zhǔn)化、流程規(guī)范化著手設(shè)計(jì)黑客防范辦法。本文引入SSO機(jī)制，可有效保證校園網(wǎng)絡(luò)安全性、可行性、健壯性的同時(shí)，又考慮了校園網(wǎng)絡(luò)運(yùn)行和維護(hù)的實(shí)際需求，具有一定的實(shí)用價(jià)值。

[1]施正曄.SSO單點(diǎn)登錄模型的優(yōu)化研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012年,07期：190-191

[1]譚臻.校園網(wǎng)絡(luò)安全管理中的黑客入侵與防范[J]. 計(jì)算機(jī)安全,2007年,10期：99-101

[2]崔勝.黑客入侵防范技術(shù)淺析[J].福建電腦,2012年,09期：65-66

[3]丁永健.計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范措施分析[J].信息與電腦(理論版), 2011年, 08期：48-50