一種基于SSO的校園網絡安全黑客防范方法

張平 鄭津 汪立欣

1.西南石油大學現代教育技術中心, 四川 成都 610500

2.西南石油大學計算機科學學院, 四川 成都 610500

引言

隨著高校信息化建設的推進，各高校逐步建立統一的校園網數字化平臺，集成了諸如教務管理系統、財務管理系統等一系列已有或新建的校園網子系統。校園網絡的安全管理成為校園網絡管理的重點。其中，黑客攻擊近年來已成為突出問題。本文從校園網絡黑客攻擊的源頭著手，分析其典型類型和特點，將SSO（Single Sign-On，以下簡稱SSO）機制引入到校園網絡的認證機制中，提出一整套基于SSO機制的校園網絡安全黑客防范方法。

1 校園網絡黑客問題分析

“黑客”一詞，現在多用來泛指那些專門利用計算機通過網絡進行破壞或入侵他人系統或網絡，在網絡上進行破壞的人或行為。近年來，隨著計算機技術的普及以及網絡黑客工具資源的泛濫，校園網絡遭受黑客攻擊的事例屢見不鮮。

從本質上來說，校園網絡黑客攻擊的實施人主要來自校園網絡內部，其目的歸結起來分兩大類，一類是黑客攻擊實施者出于好奇或炫耀的目的，將校園網絡作為練習黑客技術或顯示黑客能力的平臺，而另一類則是有目的性地攻擊特定校園網絡節點滿足私自利益，例如希望通過侵入教務管理系統，來修改個人資料和學習成績。

另一方面，校園網絡是一個相對封閉的網路系統，導致黑客攻擊的手段不像公網環境中那樣復雜多樣，一般分為網絡嗅探工具攻擊，木馬或系統漏洞入侵、網絡共享入侵等幾種主要類型。校園網絡下各個子系統之間復雜度不均勻，其運行平臺、系統架構、處理流程等皆因工作性質不同而不一，僅采用普通的部署“防火墻+反黑客軟件”的方法費時費力，甚至可能導致校園網絡運行的不暢，帶來不可估量的損失。鑒于校園網絡受眾的特殊性，本文設計了一整套基于SSO機制的校園網絡安全黑客防范的辦法。

2 基于SSO機制的黑客防范辦法

SSO機制中文一般譯為單點登錄機制，是指允許用戶通過一次性地驗證登錄，便可獲得目標系統預設的授權訪問，其技術特點可被用來防范和應對校園網絡安全黑客攻擊行為。SSO的實現機制分為多種，大體分為基于客戶端的Cookie機制和基于服務器端的Session機制兩大類。本文結合實際，提出的方法是采用Cookie機制實現，該方案的處理流程大致分為以下幾步：

（1）用戶初次登錄認證：該步驟采用“用戶名+密碼”方式實現用戶端與服務器端的會話，目的是初步過濾非法用戶的訪問請求。該步驟的具體流程是首先用戶端來將認證信息加密壓縮后，傳輸到認證服務器進行驗證，若驗證通過，則用戶認證成功，同時，用戶端在認證成功后，將認證服務器返回來的用戶權限信息同認證信息一起打包為用戶令牌（User Token，以下簡稱UT），為后續SSO操作做好準備。

（2）用戶端SSO認證：在初次登錄認證通過后，若用戶端產生新的針對不同校園網絡節點的應用申請，則系統自動啟動用戶端SSO認證機制，主要是搜尋UT中的用戶權限與當前應用申請之間是否相符，如相符，則由SSO認證機制提示用戶驗證成功，并更新用戶界面，同時在后臺將用戶當前應用申請重定向到對應服務器節點。

（3）服務器端SSO認證：當校園網絡某服務器節點收到SSO類型的應用請求后，自動解析該請求包含的用戶權限信息，與服務器端的用戶信息權限表作二次比對，若比對成功，則打開相關Web應用數據通路，并將相關標識、口令及通路信息反饋給用戶端。

（4）用戶權限管理：用戶權限管理實現系統管理員根據預先設定的用戶角色和操作權限，對系統進行用戶權限的管理和角色的分配。考慮到該步驟的工作量大，且盡可能保證校園網絡各用戶單位實時更新的效率，實際中，用戶權限管理是由校級系統管理員與二級單位管理員來協同完成的，一般采用用戶自行注冊并申請崗位或角色所需應用系統的訪問權限，然后由管理員進行審核批準，當審核通過后才能給用戶開通應用系統的訪問權限，并記錄到服務器中。

3 本方案防范特點分析

如前所述，基于SSO的校園網絡黑客防范方法可以從三個層面上對黑客行為進行防范，包括：

（1）用戶初次登錄認證作為第一層防范，是所有校園網絡用戶初次使用校園網時所必須經歷的步驟，其缺點是黑客可能通過木馬或系統漏洞截獲正常用戶的登錄信息，這種情況可在第二層防范中避免。

（2）在用戶端SSO認證過程中，若用戶端提出的應用請求超出了其預設的應用權限，則系統不予通過，如校園網絡的學生用戶如提出訪問保衛處天網服務器，超出了其預設的訪問權限，系統自動過濾。這樣，很好地避免了偽裝正常用戶初次登錄信息，進入系統后恣意進行偽應用請求的情況。但該層次的防范也有漏洞，即如果黑客進行的是正常用戶合法權限的應用申請，則不能杜絕其順利進入相關服務器節點。這種情況的處理放在了第三層防范。

（2）服務器端SSO認證作為最后一層防范，可有效避免在第二層防范中無法甄別的情況。例如，黑客偽裝學生用戶申請進入教務管理系統服務器，這種應用申請是合法的，但該類用戶的應用操作會受到學生用戶角色權限的限制，如果該次應用中提出了修改教務管理系統中的成績數據，則服務器端SSO認證會拒絕。這樣，即使黑客能夠順利地侵入到服務器， SSO認證機制中的操作權限限制機制也會將黑客在服務器上的行為限制在正常范圍內，將黑客帶來的損失降到最低。

4 結語

綜上所述，校園網絡的黑客問題防治策略應依托校園網絡實際情況進行設計和建設，一是校園網絡數據價值有限，其黑客行為實施群體的目的性和技術性比較單一，二是校園網絡的架構和配置是與校園各用戶單位的職能緊密相關，所以應從管理標準化、流程規范化著手設計黑客防范辦法。本文引入SSO機制，可有效保證校園網絡安全性、可行性、健壯性的同時，又考慮了校園網絡運行和維護的實際需求，具有一定的實用價值。

[1]施正曄.SSO單點登錄模型的優化研究[J].計算機光盤軟件與應用,2012年,07期：190-191

[1]譚臻.校園網絡安全管理中的黑客入侵與防范[J]. 計算機安全,2007年,10期：99-101

[2]崔勝.黑客入侵防范技術淺析[J].福建電腦,2012年,09期：65-66

[3]丁永健.計算機網絡風險的防范措施分析[J].信息與電腦(理論版), 2011年, 08期：48-50