一种基于SSO的校园网络安全黑客防范方法

张平 郑津 汪立欣

1.西南石油大学现代教育技术中心, 四川 成都 610500

2.西南石油大学计算机科学学院, 四川 成都 610500

引言

随着高校信息化建设的推进，各高校逐步建立统一的校园网数字化平台，集成了诸如教务管理系统、财务管理系统等一系列已有或新建的校园网子系统。校园网络的安全管理成为校园网络管理的重点。其中，黑客攻击近年来已成为突出问题。本文从校园网络黑客攻击的源头着手，分析其典型类型和特点，将SSO（Single Sign-On，以下简称SSO）机制引入到校园网络的认证机制中，提出一整套基于SSO机制的校园网络安全黑客防范方法。

1 校园网络黑客问题分析

“黑客”一词，现在多用来泛指那些专门利用计算机通过网络进行破坏或入侵他人系统或网络，在网络上进行破坏的人或行为。近年来，随着计算机技术的普及以及网络黑客工具资源的泛滥，校园网络遭受黑客攻击的事例屡见不鲜。

从本质上来说，校园网络黑客攻击的实施人主要来自校园网络内部，其目的归结起来分两大类，一类是黑客攻击实施者出于好奇或炫耀的目的，将校园网络作为练习黑客技术或显示黑客能力的平台，而另一类则是有目的性地攻击特定校园网络节点满足私自利益，例如希望通过侵入教务管理系统，来修改个人资料和学习成绩。

另一方面，校园网络是一个相对封闭的网路系统，导致黑客攻击的手段不像公网环境中那样复杂多样，一般分为网络嗅探工具攻击，木马或系统漏洞入侵、网络共享入侵等几种主要类型。校园网络下各个子系统之间复杂度不均匀，其运行平台、系统架构、处理流程等皆因工作性质不同而不一，仅采用普通的部署“防火墙+反黑客软件”的方法费时费力，甚至可能导致校园网络运行的不畅，带来不可估量的损失。鉴于校园网络受众的特殊性，本文设计了一整套基于SSO机制的校园网络安全黑客防范的办法。

2 基于SSO机制的黑客防范办法

SSO机制中文一般译为单点登录机制，是指允许用户通过一次性地验证登录，便可获得目标系统预设的授权访问，其技术特点可被用来防范和应对校园网络安全黑客攻击行为。SSO的实现机制分为多种，大体分为基于客户端的Cookie机制和基于服务器端的Session机制两大类。本文结合实际，提出的方法是采用Cookie机制实现，该方案的处理流程大致分为以下几步：

（1）用户初次登录认证：该步骤采用“用户名+密码”方式实现用户端与服务器端的会话，目的是初步过滤非法用户的访问请求。该步骤的具体流程是首先用户端来将认证信息加密压缩后，传输到认证服务器进行验证，若验证通过，则用户认证成功，同时，用户端在认证成功后，将认证服务器返回来的用户权限信息同认证信息一起打包为用户令牌（User Token，以下简称UT），为后续SSO操作做好准备。

（2）用户端SSO认证：在初次登录认证通过后，若用户端产生新的针对不同校园网络节点的应用申请，则系统自动启动用户端SSO认证机制，主要是搜寻UT中的用户权限与当前应用申请之间是否相符，如相符，则由SSO认证机制提示用户验证成功，并更新用户界面，同时在后台将用户当前应用申请重定向到对应服务器节点。

（3）服务器端SSO认证：当校园网络某服务器节点收到SSO类型的应用请求后，自动解析该请求包含的用户权限信息，与服务器端的用户信息权限表作二次比对，若比对成功，则打开相关Web应用数据通路，并将相关标识、口令及通路信息反馈给用户端。

（4）用户权限管理：用户权限管理实现系统管理员根据预先设定的用户角色和操作权限，对系统进行用户权限的管理和角色的分配。考虑到该步骤的工作量大，且尽可能保证校园网络各用户单位实时更新的效率，实际中，用户权限管理是由校级系统管理员与二级单位管理员来协同完成的，一般采用用户自行注册并申请岗位或角色所需应用系统的访问权限，然后由管理员进行审核批准，当审核通过后才能给用户开通应用系统的访问权限，并记录到服务器中。

3 本方案防范特点分析

如前所述，基于SSO的校园网络黑客防范方法可以从三个层面上对黑客行为进行防范，包括：

（1）用户初次登录认证作为第一层防范，是所有校园网络用户初次使用校园网时所必须经历的步骤，其缺点是黑客可能通过木马或系统漏洞截获正常用户的登录信息，这种情况可在第二层防范中避免。

（2）在用户端SSO认证过程中，若用户端提出的应用请求超出了其预设的应用权限，则系统不予通过，如校园网络的学生用户如提出访问保卫处天网服务器，超出了其预设的访问权限，系统自动过滤。这样，很好地避免了伪装正常用户初次登录信息，进入系统后恣意进行伪应用请求的情况。但该层次的防范也有漏洞，即如果黑客进行的是正常用户合法权限的应用申请，则不能杜绝其顺利进入相关服务器节点。这种情况的处理放在了第三层防范。

（2）服务器端SSO认证作为最后一层防范，可有效避免在第二层防范中无法甄别的情况。例如，黑客伪装学生用户申请进入教务管理系统服务器，这种应用申请是合法的，但该类用户的应用操作会受到学生用户角色权限的限制，如果该次应用中提出了修改教务管理系统中的成绩数据，则服务器端SSO认证会拒绝。这样，即使黑客能够顺利地侵入到服务器， SSO认证机制中的操作权限限制机制也会将黑客在服务器上的行为限制在正常范围内，将黑客带来的损失降到最低。

4 结语

综上所述，校园网络的黑客问题防治策略应依托校园网络实际情况进行设计和建设，一是校园网络数据价值有限，其黑客行为实施群体的目的性和技术性比较单一，二是校园网络的架构和配置是与校园各用户单位的职能紧密相关，所以应从管理标准化、流程规范化着手设计黑客防范办法。本文引入SSO机制，可有效保证校园网络安全性、可行性、健壮性的同时，又考虑了校园网络运行和维护的实际需求，具有一定的实用价值。

[1]施正晔.SSO单点登录模型的优化研究[J].计算机光盘软件与应用,2012年,07期：190-191

[1]谭臻.校园网络安全管理中的黑客入侵与防范[J]. 计算机安全,2007年,10期：99-101

[2]崔胜.黑客入侵防范技术浅析[J].福建电脑,2012年,09期：65-66

[3]丁永健.计算机网络风险的防范措施分析[J].信息与电脑(理论版), 2011年, 08期：48-50