畢業(yè)設計—校園網網絡安全隱患及解決方案

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　設計（論文）題目 xx校園網網絡安全隱患及解決方案 </p><p>　　選題性質：設計 □論文 </p><p>　　院 系 電子工程學院 </p><p>　　

2、專 業(yè) 計算機網絡技術 </p><p>　　班 級 2010級3班 </p><p>　　學 號 </p><p>　　學生姓名 </p><p>　　指導教師 </p><

3、;p>　　成 績 </p><p><b>　　教務處制</b></p><p>　　年 月 日</p><p><b>　　摘 要</b></p><p>　　本設計以網絡為基礎，分析了國內校園網安全的發(fā)展趨勢，然后結合學校

4、校園網的實際情況，分析了校園網存在的安全隱患，從整體上對校園網絡安全系統(tǒng)進行規(guī)劃設計，充分整合現行的幾種關鍵網絡安全技術，提出了一整套校園信息網絡安全防御的設計與實現，力保校園網絡健康、可靠、有效地運行。在校園網絡安全解決方案中包括防火墻技術、入侵檢測系統(tǒng)(IDS)、防病毒、數據備份等幾個部分，設計對各個部分進行了詳細的分析。在對全局校園網絡安全體系方案中各部分論述的基礎上，還對主要的關鍵技術做了配置說明，并給出了實際運行中的實例。本論

5、文設計的校園網絡安全防御方案，現正在實際校園網環(huán)境中應用，其運行結果表明了這種校園網安全防御系統(tǒng)的可行性和實際應用性，達到了實際應用效果。</p><p>　　關鍵詞：校園網、安全管理、防火墻、入侵檢測</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><

6、;p><b>　　目 錄II</b></p><p><b>　　前 言1</b></p><p>　　第１章 重慶信息技術職業(yè)學院校園網3</p><p>　　1.1 重慶信息技術職業(yè)學院網絡背景介紹3</p><p>　　1.1.1 建設背景和現狀3</p><

7、;p>　　1.1.2 建設需求分析3</p><p>　　1.2 重慶信息技術職業(yè)學院安全隱患介紹4</p><p>　　1.2.1校園網網絡安全的概述4</p><p>　　1.2.2 網絡安全的含義5</p><p>　　1.2.3 威脅網絡安全的不安全因素分析5</p><p>　　第2章 重慶信

8、息技術職業(yè)學院校園網網絡安全隱患分析7</p><p>　　2.1 校園網安全存在的缺陷7</p><p>　　2.1.1 網絡自身的安全缺陷7</p><p>　　2.1.2 網絡結構、配置、物理設備不安全7</p><p>　　2.1.3 內部用戶的安全威脅7</p><p>　　2.1.4 軟件的漏洞

9、7</p><p>　　2.1.5 網絡結構、配置、物理設備不安全7</p><p>　　2.1.6 各種非法入侵和攻擊8</p><p>　　2.2 校園網安全管理和維護的措施與建議8</p><p>　　2.2.1 配置高性能的防火墻產品8</p><p>　　2.2.2 網絡設計、使用更合理化8<

10、/p><p>　　2.2.3 軟件漏洞修復8</p><p>　　2.2.4 防殺毒軟件系統(tǒng)9</p><p>　　2.2.5 配備入侵檢測系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)9</p><p>　　2.2.6 系統(tǒng)安全風險評估9</p><p>　　2.2.7 災難恢復計劃9</p><p>

11、;　　2.2.8 加強管理9</p><p>　　2.3 校園網的安全防范和管理9</p><p>　　第3章 重慶信息技術職業(yè)學院校園網安全隱患解決方案與實現11</p><p>　　3.1 防火墻的選擇與設計11</p><p>　　3.1.1Cisco PIX525防火墻介紹11</p><p>　　3

12、.1.2 Cisco PIX525防火墻的安裝和配置12</p><p>　　3.2 校園網身份認證系統(tǒng)的選擇與設計15</p><p>　　3.3 Chost數據備份實現19</p><p>　　3.3.1 數據智能備份23</p><p>　　3.3.2 數據備份設計硬件24</p><p>　　3.3.

13、3 數據備份設計軟件23</p><p>　　3.4 入侵檢測系統(tǒng)的實現23</p><p>　　3.4.1 金諾入侵檢測系統(tǒng)的組成23</p><p>　　3.4.2 傳感器的安裝24</p><p>　　3.4.3 控制臺軟件的配置24</p><p>　　3.4.4 控制臺軟件的使用25</p&

14、gt;<p><b>　　總 結29</b></p><p><b>　　參考文獻30</b></p><p><b>　　前 言　</b></p><p>　　互聯(lián)網是全球最大的網絡結構，為全世界200多個國家的幾億用戶提供了海量的信息資源。但與此同時，也產生了很多的信息安全問題，

15、各種黑客、病毒、安全漏洞、非法入侵等都在不斷的侵蝕著網絡，給各國的經濟及信息化發(fā)展帶來了巨大的威脅和無法挽回的損失，互聯(lián)網的安全問題己經擺在各國面前，受到了各國政府的極大關注。</p><p>　　據美國聯(lián)邦調查局統(tǒng)計，美國每年因網絡安全造成的損失高達75億美元。世界著名的商業(yè)網站，如Yahoo，EBay，CNIN都曾經被黑客入侵，連專門從事網絡安全的RSA網站也受到黑客的攻擊。據美國金融時報報道，世界上平均每2

16、0分鐘就發(fā)生一次入侵國際互聯(lián)網絡的計算機安全事件，三分之一的防火墻被突破。美國聯(lián)邦調查局計算機犯罪組負責人吉姆·塞特爾稱：給我精選10名“黑客"，組成小組，90天內，我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條電話線和一個調制解調器，就可以令某個地區(qū)的網絡運行失常。在我國，有98％的網絡系統(tǒng)受到各種病毒、黑客及非法入侵的攻擊，許多的ISP、證券公司及銀行也多次被國內外黑客攻擊，造成了巨大的

17、經濟損失，針對其他行業(yè)的網絡犯罪事件也無時無刻不在威脅著網絡的安全。</p><p>　　另外，各國的專網建設己經有了長足的發(fā)展，應用到了各國社會經濟建設的各個領域，金融證券、教育科研、電信、廣電、能源交通、國防和商貿企業(yè)等各部門都加大了專網的開發(fā)和建設力度，專網在提供多種信息化服務、給人們帶來便利的同時，其安全問題也日益突出，專網的安全問題己成為各國政府待解決的重要問題。</p><p>

18、;　　學校是教書育人的場所，校園網作為一種信息化的手段在其中起著非常重要的作用。然而校園網的安全問題日益突出，己經成為威脅學校信息技術教育的首要問題。與互聯(lián)網所經受的考驗一樣，不健康信息、非法入侵和其它各種不安全因素以其越來越大的危害侵蝕著學校這塊凈土。</p><p>　　面對這些嚴峻的現實，各國政府不得不重視網絡安全問題。他們開發(fā)了各式各樣的網絡安全產品，如入侵檢測系統(tǒng)(IDS)、防火墻、防病毒軟件等來有效預

19、防和處理各種不安全因素，保證網絡系統(tǒng)的安全性。保障網絡系統(tǒng)的安全己經成為刻不容緩的重要課題。</p><p>　　目前網絡經濟正在成為推動經濟持續(xù)增長的重要因素之一，但是與網絡發(fā)展速度相比，網絡安全問題卻一直沒有得到很好的解決。據統(tǒng)計，面向計算機的犯罪每年增長率為30％，造成這種情況的原因主要為網絡的開放性和復雜性。計算機犯罪已經成為普遍的國際性問題，各國都在加大對信息網絡安全核心技術和產品的研發(fā)投入：美國總統(tǒng)布

20、什2002年就發(fā)布了16號“國家安全總統(tǒng)令”，組建了美軍網絡黑客部隊—網絡戰(zhàn)聯(lián)合功能構成司令部，于2007年2月份正式編入作戰(zhàn)序列。2005年，美軍投入20億美元用于信息系統(tǒng)的網絡安全保密建設。2007年，美軍正在實施“密碼現代化計劃"，準備用15年時間，投入十億美元使密碼系統(tǒng)全面升級。其他西方國家也紛紛調整科研發(fā)展計劃，將信息安全技術列為戰(zhàn)略性技術予以重點投入。我國網絡建設發(fā)展迅速，取得了巨大成績。但是，由于沒有解決網絡安全

21、問題的好的方案，且網絡安全建設經費投入不足，網絡安全問題還是相當嚴重。計算機系統(tǒng)也多采用開放式的操作系統(tǒng)，安全級別較低，很難抵抗黑客的攻擊。有些單位甚至對網絡安全沒有概念，完全沒有安全措施，更談不上安全管理與安全政策的制定。國家領導及各部門對此給予高度重視，國家領導人</p><p>　　20世紀80年代美國國防部基于軍事計算機系統(tǒng)的保密需要，在20世紀70年代的基礎理論研究成果——計算機保密模型的基礎上，制訂了

22、“可信計算機系統(tǒng)安全評價準則”，其后又制訂了關于網絡系統(tǒng)、數據庫等方面的準則和系列安全解釋，形成了安全信息系統(tǒng)體系結構的最早原則。至今美國已研究出達到TCSEC要求的安全系統(tǒng)(包括安全操作系統(tǒng)、安全數據庫、安全網絡部件)產品數百種。</p><p>　　迄今為止，在黑客攻擊與防護的網絡安全對抗中，黑客攻擊仍占據了上風，我們基本上都是在被動防護。為了爭取在攻擊與防護的安全對抗中占據主動地位，近來，取證、陷阱、攻擊定

23、位、入侵偵測、反攻擊、容錯、自動恢復等主動防御技術得到重視和發(fā)展。</p><p>　　第1章 重慶信息技術職業(yè)學院校園網</p><p>　　1.1 重慶信息技術職業(yè)學院網絡背景介紹</p><p>　　重慶信息技術職業(yè)學院校園網建設著眼于為教育教學服務，為促進學校教育現代化服務。緊密結合教育教學的需要和經濟承受能力的實際，本著統(tǒng)一規(guī)劃、分布實施的原則，有計劃、有

24、重點，分地區(qū)、分層次，積極穩(wěn)妥地推進校園網建設。嚴格規(guī)范校園網建設及相應的軟件開發(fā)標準，確保信息化校園的整體建設規(guī)劃和管理要求的落實。</p><p>　　重慶信息技術職業(yè)學院校園網建設同時，切實做好學校教師、技術與管理及行政人員的不同層次的培訓，形成一支能使校園網充分發(fā)揮使用效益的應用隊伍、教學軟件開發(fā)隊伍和能保證校園網正常持續(xù)運行的軟、硬件管理隊伍。積極開發(fā)和推廣使用教育教學軟件，建設信息資源庫，充分發(fā)揮校園

25、網的使用效益。</p><p>　　1.1.1 建設背景和現狀</p><p>　　重慶信息技術職業(yè)學院很早就展開了計算機輔助教學，并建立了大規(guī)模的計算機實驗室，學校擁有計算機上千臺，但由于目前各個系都是自己組建自己的內部網絡，采用的軟件平臺、硬件</p><p>　　1.1.2 建設需求分析</p><p>　　重慶信息技術職業(yè)學院校園網建

26、設著眼于為教育教學服務，為促進學校教育現代化服務。緊密結合教育教學的需要和經濟承受能力的實際，本著統(tǒng)一規(guī)劃、分布實施的原則，有計劃、有重點，分地區(qū)、分層次，積極穩(wěn)妥地推進校園網建設。嚴格規(guī)范校園網建設及相應的軟件開發(fā)標準，確保信息化校園的整體建設規(guī)劃和管理要求的落實。</p><p>　　重慶信息技術職業(yè)學院很早就展開了計算機輔助教學，并建立了大規(guī)模的計算機實驗室，學校擁有計算機上千臺，但由于目前各個系都是自己組

27、建自己的內部網絡，采用的軟件平臺、硬件。</p><p>　　重慶信息技術職業(yè)學院很早就展開了計算機輔助教學，并建立了大規(guī)模的計算機實驗室，學校擁有計算機上千臺，但由于目前各個系都是自己組建自己的內部網絡，采用的軟件平臺、硬件。</p><p>　　1.2 重慶信息技術職業(yè)學院安全隱患介紹</p><p>　　互聯(lián)網起源于1969年的ARPANet最初用于軍事目的,

28、1993年開始應用于商業(yè)?，F今隨著計算機技術的廣泛發(fā)展,計算機應用領域不斷擴大,特別是在教育機構,校園網成為教學、辦公科研、資源共享的重要工具。校園網帶來方便的同時,網絡本身的開放、共享、廣泛、復雜性也帶來了一系列令人擔心的問題,網絡安全已經被提到了重要日程。無論我們是否愿意承認,只要連接了Internet,都是容易受攻擊的。因而在網絡本身的開放性、共享性的前提下,如何保證校園網絡的安全性,以抵抗入侵、防范網絡攻擊等,成為目前校園網絡建

29、立健全的關鍵。</p><p>　　1.2.1校園網網絡安全的概述</p><p>　　隨著網絡技術的發(fā)展，可以說現在大部分的學校都建立了校園網并投入了使用，這對加快信息處理、提高工作效益、實現資源共享都起到了無法估量的作用。但，在積極發(fā)展信息自動化的同時，網絡安全問題成為了一個非常嚴重的隱患，就好像一個定時炸彈深深埋在校園現代化的進程中。2003年爆發(fā)的“震蕩波、沖擊波”，2006年的熊

30、貓燒香病毒等雖然沒有給校園網絡造成很大的傷害，但足以認識到網絡安全的重要性，因此搞好網絡安全已經成為一個重要的課題。要解決網絡安全問題，了解網絡的基本結構和功能是首要問題。重慶信息技術職業(yè)學院網絡結構拓撲圖如圖1.1。</p><p>　　圖1.1 校園網絡結構拓撲圖</p><p>　　1.2.2 網絡安全的含義</p><p>　　網絡安全是指網絡系統(tǒng)的

31、硬件，軟件及數據受到保護，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。且在不同環(huán)境和應用中又不同的解釋。</p><p>　?。?）運行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計算機系統(tǒng)機房環(huán)境和傳輸環(huán)境的法律保護、計算機結構設計的安全性考慮、硬件系統(tǒng)的安全運行、計算機操作系統(tǒng)和應用軟件的安全、數據庫系統(tǒng)的安全、電磁信息泄露的防御等。</p><p>

32、　?。?）網絡上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治、數據加密等。</p><p>　?。?）網絡上信息傳輸的安全：即信息傳播后果的安全、包括信息過濾、不良信息過濾等。</p><p>　?。?）網絡上信息內容的安全：即我們討論的狹義的“信息安全”；側重于保護信息的機密性、真實性和完整性。本質上是保護用戶的利益和

33、隱私。</p><p>　　1.2.3 威脅網絡安全的不安全因素分析</p><p>　　（一）網絡的開放性帶來的安全問題</p><p>　　Internet的開放性以及其他方面因素導致了網絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略、管理和技術被研究和應用。然而，即使在使用了現有的安全工具和技術的情況下，網絡的安全仍然存在很大隱

34、患，這些安全隱患主要可以包括為以下幾點:</p><p>　　(1)安全機制在特定環(huán)境下并非萬無一失。比如防火墻，它雖然是一種有效的安全工具，可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發(fā)覺和防范的。</p><p>　　(2)安全工具的使用受到人為因素的

35、影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當的設置就會產生不安全因素。例如，WindowsXP在進行合理的設置后可以達到C級的安全性，但很少有人能夠對WindowsXP本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性。

36、</p><p>　　(3)系統(tǒng)的后門是難于考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來

37、說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。</p><p>　?。ǘ┚W絡安全的主要威脅因素</p><p>　　(1)軟件漏洞：每一個操作系統(tǒng)或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網，將成為眾矢之的。</p><p>　　(2)配置不當：安全配置不當造成安全漏洞

38、，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置，否則，安全隱患始終存在。</p><p>　　(3)安全意識不強：用戶口令選擇不慎，或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。</p><p>　　(4)病毒：目前數據安全的頭

39、號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提高對病毒的防范刻不容緩。</p><p>　　第2章 重慶信息技術職業(yè)學院校園網網絡安全隱患分析</p><p>　　近幾年來,隨著高校規(guī)模的不斷擴大,新校區(qū)或者合并校區(qū)的擴建,

40、高校校園網普遍存在網絡規(guī)模較大,上網地點較分散,網絡監(jiān)管困難,上網行為不夠規(guī)范等現象,因而加大了校園網絡在使用過程中的安全隱患。</p><p>　　2.1 校園網安全存在的缺陷</p><p>　　2.1.1 網絡自身的安全缺陷</p><p>　　網絡是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網絡節(jié)點的唯一標識,基于IP地址進行多用戶的認

41、證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。</p><p>　　2.1.2 網絡結構、配置、物理設備不安全</p><p>　　最初的互聯(lián)網

42、只是用于少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯(lián)網和所連接的計算機系統(tǒng)在實現階段也留下了大量的安全漏洞。并且網絡使用中由于所連接的計算機硬件多,一些廠商可能將未經嚴格測試的產品推向市場,留下大量安全隱患。同時,由于操作人員技術水平有限,所以在網絡系統(tǒng)維護階段會產生某些安全漏洞,盡管某些系統(tǒng)提供了一些安全機制,但由于種種原因使這些安全機制沒有發(fā)揮其作用。</p><p>　　2.1.3 內部用戶的安

43、全威脅</p><p>　　系統(tǒng)內部人員存心攻擊、惡作劇或無心之失等原因對網絡進行破壞或攻擊的行為,將會給網絡信息系統(tǒng)帶來更加難以預料的重大損失。U盤、移動硬盤等移動介質交叉使用和在聯(lián)接互聯(lián)網的電腦上使用,造成病毒交叉感染等等,都會給校園網絡帶來較大的安全威脅。特別是近年來利用ARP協(xié)議漏洞進行竊聽、流量分析、DNS劫持、資源非授權使用、植入木馬病毒不斷增加,嚴重影響了網絡安全。</p><p

44、>　　2.1.4 軟件的漏洞</p><p>　　一般認為,軟件中的漏洞和軟件的規(guī)模成正比,軟件越復雜其漏洞也就越多。在網絡系統(tǒng)運行過程中,由于操作系統(tǒng)自身不夠完善,針對系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴重。目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。 </p><p>　　2.1.5 病毒的傳播</p><p>　　

45、網絡的發(fā)展使資源的共享更加方便，移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失,也就是說,網絡在提供方便的同時，也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發(fā)無不使成千上萬的用戶受到影響。幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。</p><p&

46、gt;　　2.1.6 各種非法入侵和攻擊</p><p>　　由于校園網接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數據,非法搶占系統(tǒng)控制權、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權訪問或在非授權和不能監(jiān)測的方式下對數據進行修改;通過網絡傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)

47、資源導致授權的用戶不能獲得應有的訪問或操作被延遲產生了拒絕服務等。</p><p>　　2.2 校園網安全管理和維護的措施與建議</p><p>　　通過以上安全缺陷分析,校園網絡安全的形式依然非常嚴峻。制定整體的安全部署解決安全隱患和漏洞,是校園網安全、健康運行的保障。</p><p>　　2.2.1 配置高性能的防火墻產品</p><p>

48、;　　防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。一般來說,防火墻設置在可信賴的內部網絡和不可信賴的外部網絡之間。防火墻相當于分析器,可用來監(jiān)視或拒絕應用層的通信業(yè)務,防火墻也可以在網絡層和傳輸層運行,根據預先設計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。所以對防火墻作好安全設置,設定恰當的訪問控制策略,保障網絡資源不被非法使用和訪問。</p><p>　　2.2.2 網絡設計、使用更合理化&l

49、t;/p><p>　　在網絡設計之初,需要理解終端設備安全事件對網絡的影響,確定需要采取的安全措施,通過已知身份驗證的設備訪問網絡,防范未經授權的接觸,讓入侵者難以進入。這樣網絡才能提供可預測、可衡量、有保證的安全服務。</p><p>　　2.2.3 軟件漏洞修復</p><p>　　在校園網絡系統(tǒng)運行過程中,一方面對用戶進行分類,劃分不同的用戶等級,規(guī)定不同的用戶權

50、限;另一方面對資源進行區(qū)分,劃分不同的共享級別,例如:只讀、安全控制、備份等等。同時,給不同的用戶分配不同的帳戶、密碼,規(guī)定密碼的有效期,對其進行動態(tài)的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對一些IP地址進行過濾,以防止惡意破壞者入侵;建立補丁更新服務器,部署全局更新機制,實時、高效更新軟件漏洞。</p><p>　　2.2.4 防殺毒軟件系統(tǒng)</p><p>　　在互聯(lián)網

51、技術飛速發(fā)展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網中使用帶防火墻的企業(yè)版殺毒軟件,就能對整個校園網絡的起到安全防護的作用,使計算機免受病毒入侵。</p><p>　　2.2.5 配備入侵檢測系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)</p><p>　　入侵檢測就是對入侵行為的檢測,通過收集和分析計算機網絡或計算機系統(tǒng)中若干關鍵點的信息,檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊

52、的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動的計算機系統(tǒng),攻擊者入侵后,可以隨時了解其針對服務器發(fā)出的最新的攻擊和漏洞,這樣系統(tǒng)就可以及時、有針對性的防范攻擊和修復漏洞。</p><p>　　2.2.6 系統(tǒng)安全風險評估</p><p>　　互聯(lián)網的不安全因素無時無刻的威脅著網絡安全,只有在網絡系統(tǒng)所面臨的風險進行了有效評估的基礎上,才能掌握網絡安全中存在的漏洞和威脅,從而采取有

53、效措施控制網絡風險。風險評估過程是一個動態(tài)循環(huán)的,因此必須進行周期性、長期的評估。</p><p>　　2.2.7 災難恢復計劃</p><p>　　1996年報道的網絡攻擊方式只有400種,1998年達到4000種。 CERT/CC公布的漏洞數據為,2000年1090個,2002年已經增加至4129個?？梢韵胂?對管理員來說要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這

54、些漏洞之前首先發(fā)現這些漏洞。尤其是緩沖區(qū)溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。我們無論怎么想辦法都不可能防止災難的發(fā)生,但為了使災難發(fā)生造成的損失減到最小,就應該在災難發(fā)生之前建立意外事件計劃,記錄各種災難發(fā)生所產生的影響,并為此作出相應的應對措施。</p><p>　　2.2.8 加強管理</p><p>　　隨著網絡技術的迅速發(fā)展、應用領域的廣泛性以及用

55、戶對網絡的了解程度加深,惡意破壞者或者非法入侵者對網絡安全的影響會越來越大,這就使得網絡安全管理工作任務更加艱巨而重要。因而,在網絡安全管理工作中必須做到及時進行漏洞的修補和日志的查看,保證網絡的穩(wěn)定性。另外,高校也應該頒布網絡行為的相關規(guī)范和處罰條例,這樣才能更有效的控制和減少來自內部網絡的安全隱患。</p><p>　　2.3 校園網的安全防范和管理</p><p>　　網絡技術的普及

56、,使人們對網絡的依賴程度加大,對網絡的破壞造成的損失和混亂會比以往任何時候都大。這也就使得高校需要對網絡安全做更高的要求,也使得網絡安全的地位將越來越重要,網絡安全必然會隨著網絡應用的發(fā)展而不斷發(fā)展。 </p><p>　　隨著國家網絡信息化建設的飛速發(fā)展，有越來越多的學校建立起自己的校園網絡進行教學和管理，同時，通過Internet的遠程教育網絡，教育不再受國家、地區(qū)、學校、學科的限制，學生能夠充分享受教育的多

57、面性、多樣性，提高學生學習的趣味性、選擇性。但與此同時隨著國家網絡信息化建設的飛速發(fā)展，有越來越多的學校建立起自己的校園網絡進行教學和管理，同時，通過Internet的遠程教育網絡，教育不再受國家、地區(qū)、學校、學科的限制，學生能夠充分享受教育的多面性、多樣性，提高學生學習的趣味性、選擇性。但與此同時，愈演愈烈的黑客攻擊事件以及非法信息的不斷蔓延、網絡病毒的爆發(fā)、郵件蠕蟲的擴散，也給網絡蒙上了陰影。在高速發(fā)展的校園網及遠程教育網絡系統(tǒng)中也

58、同樣存在著威脅網絡安全的諸多因素?！　∫话銇碇v，重慶信息技術職業(yè)學院校園網在安全方面的隱患和威脅雖然也主要來自于病毒和黑客入侵，但其要防護的重點則有著特定的需求。對于校園網而言，需要加強安全防范和管理的體現在三個方面：⑴.防范病毒入侵　　目前，網絡中存在的病毒已經不計其數，并且日有更新。而隨著紅色代碼、Nimda、SQL Slammer等病毒的一再出現，病毒已</p><p>　　第3章 重慶信息技術職業(yè)學

59、院校園網安全隱患解決方案與實現</p><p>　　3.1 防火墻的選擇與設計</p><p>　　防火墻是網絡中重要的第一防線，越來越多的人認識到安裝防火墻的重要性，因此我們對防火墻的性能和管理特點加以評測。有7個廠家參加了我們的評測，它們是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computin

60、g。重慶信息技術職業(yè)學院防火墻網絡拓撲圖如圖3.1。</p><p>　　圖3.1 重慶信息技術職業(yè)學院防火墻網絡拓撲圖</p><p>　　從防御功能、應用層高級代理功能、支持網絡地址轉換、認證支持、協(xié)議支持、加密支持、LAN接口等幾方面進行對比。其中，Cisco的PIX性能接近線速，比較符合重慶信息技術職業(yè)學院校園網網絡安全的應用。</p><p>　　3

61、.1.1Cisco PIX525防火墻</p><p>　　Cisco PIX525防火墻，是網絡間的墻，防止非法侵入，過濾信息等，從結構上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟工控機差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那種EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式， Cisco F

62、irewall PiX525，是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面看跟Cisco路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。</p><p>　　3.1.2 Cisco PIX525防火墻的安裝和配置</p><p>　　(1)將PIX安裝放至

63、機架，經檢測電源系統(tǒng)后接上電源，并加電主機。</p><p>　　(2)建立用戶和修改密碼</p><p>　　用配置線從電腦的COM2連到PIX525的console口，進入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級終端”，通訊參數設置為默認。初始使用有一個初始化過程，主要設置：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部

64、網卡IP地址)、domain(主域)等，如果以上設置正確，就能保存以上設置，也就建立了一個初始化設置了。 進入Pix525采用超級用戶(enable),默然密碼為空，修改密碼用passwd命令[5]。</p><p><b>　　(3)激活以太端口</b></p><p>　　激活以太端口必須用enable進入，然后configure模式</p><

65、;p>　　PIX525>enable </p><p>　　Password: </p><p>　　PIX525#config t </p><p>　　PIX525(config)#interface ethernet0 auto </p><p>　　PIX525(config)#interface ethernet1 au

66、to </p><p>　　在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside。 inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。</p><p>　　(4)命名端口與安全級別</p><p>　　采用命令nameif </p><p>　　PIX5

67、25(config)#nameif ethernet0 outside security0 </p><p>　　PIX525(config)#nameif ethernet0 outside security100 </p><p>　　security0是外部端口outside的安全級別（100安全級別最高） </p><p>　　security100是內部端

68、口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網絡，一般情況下增加一個以太端口作為DMZ(Demilitarized Zones非武裝區(qū)域) [2]。</p><p>　　(5)配置以太端口IP地址</p><p>　　采用命令為：ip address </p><p>　　內部網絡為：192.1

69、68.1.0 255.255.255.0 </p><p>　　外部網絡為：222.20.16.0 255.255.255.0 </p><p>　　PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 </p><p>　　PIX525(config)#ip address outside 222.2

70、0.16.1 255.255.255.0</p><p>　　(6)配置遠程訪問（telnet）</p><p>　　PIX的以太端口是不允許telnet的，這一點與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。</p><p>　　PIX525(config)#telnet 192.168.1.1 255.25

71、5.255.0 inside </p><p>　　PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside </p><p><b>　　測試telnet </b></p><p>　　在[開始]->[運行] </p><p>　　telnet 192.168

72、.1.1 </p><p>　　PIX passwd：</p><p>　　輸入密碼：cisco</p><p>　　(7)訪問列表（access-list）</p><p>　　有permit和deny兩個功能，網絡協(xié)議一般有IP、TCP、UDP、ICMP等等，只允許訪問主機:222.20.16.254的www,端口為：80</p&g

73、t;<p>　　PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www </p><p>　　PIX525(config)#access-list 100 deny ip any any </p><p>　　PIX525(config)#access-group 100 in interf

74、ace outside</p><p>　　(8)地址轉換（NAT）和端口轉換（PAT）</p><p>　　首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。 </p><p>　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.

75、255.0 </p><p>　　PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0 </p><p>　　如果是內部全部地址都可以轉換出去則： </p><p>　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0</p><p>　　

76、外部地址是很有限的，有些主機必須單獨占用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務器一樣的功能。配置如下：</p><p>　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255

77、.0 </p><p>　　PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 </p><p>　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0</p><p>　　(9)DHCP Server</p><p&

78、gt;　　在內部網絡，為了維護的集中管理和充分利用有限IP地址，都會啟用動態(tài)主機分配IP地址服務器，下面簡單配置。</p><p>　　地址段為192.168.1.100—192.168.168.1.200</p><p>　　DNS: 主202.96.128.68 備202.96.144.47 </p><p>　　主域名稱：abc.com.cn </p&g

79、t;<p>　　DHCP Client 通過PIX Firewall </p><p>　　PIX525(config)#ip address dhcp </p><p>　　DHCP Server配置：</p><p>　　PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 </p&

80、gt;<p><b>　　inside </b></p><p>　　PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 </p><p>　　PIX525(config)#dhcp domain abc.com.cn</p><p>　　(10)靜態(tài)端口重定向</p>

81、;<p>　　PIX525增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址端口通過Firewall PIX525 傳輸到內部指定的內部服務器。這種功能也就是可以發(fā)布內部WWW、FTP、Mail等服務器了，這種方式并不是直接連接，而是通過端口重定向，使得內部服務器很安全[1]。</p><p><b>　　命令格式： </b></p><p>&

82、lt;b>　　static </b></p><p>　　[(internal_if_name,external_if_name)]{global_ip|interface} </p><p><b>　　local_ip </b></p><p>　　[netmask mask][max_cons[max_cons[emb

83、_limit[norandomseq]]] </p><p><b>　　static </b></p><p>　　[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} </p><p><b>　　local_ip </b></p&

84、gt;<p>　　[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] </p><p>　　外部用戶直接訪問地址222.20.16.99 </p><p>　　telnet端口，通過PIX重定向到內部主機192.168.1.99的telnet端口（23）。 </p><p>　　PIX5

85、25(config)#static (inside,outside) tcp 222.20.16.99 </p><p>　　telnet 192.168.1.99 telnet netmask 255.255.255.0 </p><p>　　外部用戶直接訪問地址222.20.16.99 </p><p>　　FTP，通過PIX重定向到內部192.168.1.3的

86、FTP Server。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.99 </p><p>　　ftp 192.168.1.3 ftp netmask 255.255.255.0 </p><p>　　外部用戶直接訪問地址222.20.16.208 </p><p

87、>　　www(80端口)，通過PIX重定向到內部192.168.123的主機的www(80端口)。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 </p><p>　　www 192.168.1.2 www netmask 255.255.255.255 0 0 </p><

88、p>　　外部用戶直接訪問地址222.20.16.201 </p><p>　　HTTP(8080端口)，通過PIX重定向到內部192.168.1.4的主機的www(即80端口)。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 </p><p>　　8080 192.168

89、.1.4 www netmask 255.255.255.0 </p><p>　　外部用戶直接訪問地址222.20.16.5 </p><p>　　smtp(25端口)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25端口) </p><p>　　PIX525(config)#static (inside,outside) tcp 222.

90、20.16.208 </p><p>　　smtp 192.168.1.4 smtp netmask 255.255.255.0</p><p>　　(11)顯示與保存結果</p><p>　　采用命令show config </p><p>　　保存采用write memory[2]</p><p>　　3.2 校園

91、網身份認證系統(tǒng)的選擇與設計 </p><p>　　在網站建設的過程中，多個應用系統(tǒng)一般是在不同的時期開發(fā)完成的。各應用系統(tǒng)由于功能側重、設計方法和開發(fā)技術有所不同，也就形成了各自獨立的用戶庫和用戶認證體系。隨著網站的發(fā)展，會出現這樣的用戶群體：以其中的一個用戶為例，他（她）使用網站的多個應用系統(tǒng)，但在每個應用系統(tǒng)中有獨立的賬號，沒有一個整體上的網站用戶賬號的概念，進入每一個應用系統(tǒng)前都需要以該應用系統(tǒng)的賬號來登錄

92、。這帶給用戶不方便的使用感受，用戶會想：既然我使用的是同一個網站上的應用，為什么不能在一次在網站上登錄之后不必再經過應用系統(tǒng)認證直接進入應用系統(tǒng)呢？用戶的要求我們稱之為 "單點登錄"。</p><p>　　1．分析在多個擁有各自獨立的用戶體系的應用系統(tǒng)間實現單點登錄，我們要考慮以下的問題：</p><p>　　單點登錄系統(tǒng)的實現在各應用系統(tǒng)都采用B/S模式這一前提下進

93、行。</p><p>　　需要在各應用系統(tǒng)間統(tǒng)一用戶認證標志，用戶登錄后可以得到用戶令牌，各應用系統(tǒng)認可統(tǒng)一的用戶令牌。</p><p>　　用戶令牌應當是安全加密的，并且要限定時效期。</p><p>　　由于每個應用系統(tǒng)都有自己的用戶庫，一個用戶可能在不同的應用系統(tǒng)中使用不同的賬號，因此每個要使用多個應用系統(tǒng)的用戶要設置一個統(tǒng)一的用戶賬號并以此賬號進行單點登錄，

94、該賬號與該用戶在各應用系統(tǒng)中的一個賬號形成映射關系。</p><p>　　各應用系統(tǒng)可能屬于不同的域，因此要實現跨域的單點登錄。</p><p>　　已經上線運行的應用系統(tǒng)需要進行改造來支持單點登錄，正在開發(fā)的應用系統(tǒng)則可以在開發(fā)階段增加對單點登錄的支持，但應用系統(tǒng)之間應該是松耦合。</p><p>　　由于各應用系統(tǒng)往往都已經處于穩(wěn)定運行期，單點登錄系統(tǒng)的實現應該

95、對各應用系統(tǒng)的登錄認證體系沖擊最小，各應用系統(tǒng)原有的登錄流程依然可用。</p><p>　　一些應用服務器平臺雖然提供對單點登錄的支持，但要求應用系統(tǒng)用戶認證的設計符合其規(guī)范，這對已經處于運行期的應用系統(tǒng)來說難以實現[2]。</p><p>　　2．設計系統(tǒng)的整體設計結構如圖3.2。</p><p>　　3. 單點登陸的設計流程</p><p&

96、gt;<b>　　1.登入流程</b></p><p>　　單點登錄分為登入和登出兩個部分。登入的流程如下：</p><p>　?。?）.通過URL，對子系統(tǒng)發(fā)起訪問請求；</p><p>　　（2）.子系統(tǒng)根據用戶傳入的URL，判斷URL中是否存在State參數；</p><p>　?。?）.如果存在state狀態(tài)值，

97、轉到4；不存在State參數，說明用戶第一次登錄本系統(tǒng)，跳轉到SSO服務器對用戶進行驗證，并將當前頁面URL作為參數傳入SSO系統(tǒng)；</p><p>　　SSO服務器根據傳進來的URL， 判斷URL中是否存在用戶名和密碼參數， 如果存在，則驗證用戶名和密碼的正確性，并根據驗證的結果設置state狀態(tài)值（合法為4，非法為1），返回子系統(tǒng)，轉到1；</p><p>　　如果不存在用戶名和密碼參

98、數，SSO服務器讀取客戶端本地的cookie信息，如果不存在cookie，說明是用戶第一次系統(tǒng)，設置State的值為1，返回子系統(tǒng)，轉到1；如果客戶端存在cookie，讀取cookie，判斷該用戶是否合法登錄用戶，并根據結果設置state狀態(tài)值（有使用權限為2，沒有使用權限為3），返回子系統(tǒng)，轉到1；</p><p>　　4. 根據state狀態(tài)值進行相應的跳轉， 如果state為2或者4， 跳轉至子系統(tǒng)相應的服

99、務頁面；如果狀態(tài)值為1或者3，跳轉到登錄頁面讓用戶重新登錄。單點登入的流程圖如圖3.3所示。</p><p>　　圖3.3 單點登入流程圖</p><p>　　為了確保系統(tǒng)的安全，Cookie中只記錄用戶名和用戶的IP地址，并且對這些信息進行加密。SSO服務器在用戶第一次登陸時，將登陸用戶的用戶名和其當前的IP地址寫入cookie，當用戶再次請求其它系統(tǒng)的服務時，SSO服務器驗證cook

100、ie信息，只需判斷cookie中的用戶名和IP是否與當前請求服務的用戶的用戶名和IP地址信息一致，如果一致，說明該用戶已經登陸，允許其使用請求的服務；如果不一致或者該用戶的cookie不存在，說明該用戶沒有進行合法登錄，需要其重新進行登陸。因為我們加入了IP信息，從而杜絕了用戶的cookie被拷貝直其它機器使用的情況。而且，通過SSO服務器對用戶進行cookie操作，解決了不同站點之間跨域的問題。 </p><p&g

101、t;<b>　　2.登出流程 </b></p><p>　　當用戶使用系統(tǒng)完畢，需要登出時，需要已登錄用戶在cookie中的信息被銷毀，放置后來的用戶利用前面用戶的信息進行登陸。登出的流程如下：</p><p>　　（1）.客戶端發(fā)出登出請求；</p><p>　?。?）.子系統(tǒng)的登出系統(tǒng)跳轉到SSO的登出頁面；</p><

102、p>　?。?）.SSO對客戶端的Cookie進行刪除；</p><p>　　（4）.刪除客戶端Cookie后，跳轉到子系統(tǒng)的登出頁面；</p><p>　　（5）.退出所有的系統(tǒng)。 </p><p>　　3.單點登錄系統(tǒng)的安全性</p><p>　　對于單點登錄系統(tǒng)，安全性是一個必須考慮的問題。本系統(tǒng)采取了良好的機制，確保子系統(tǒng)和SSO

103、系統(tǒng)之間通信的安全性。對于SSO服務器和子系統(tǒng)傳遞的信息，通過非對稱加密和數字簽名的方式保證數據的真實性。對應客戶端的cookie，采用內存cookie，加入用戶的IP等信息并進行加密，確保cookie的安全性。</p><p>　　4.cookie的安全性保證</p><p>　　從上面的登入過程可以看出，SSO服務器在驗證用戶是否已經登陸時，是通過讀取客戶端cookie信息來進行判定。

104、為了確保cookie的安全性，我們在cookie中記錄的信息只有用戶的用戶名和IP地址而不對密碼進行記錄，并且用戶名和IP地址都是經過加密。同時，我們采用內存cookie的形式，cookie只是保存在內存中，用戶關閉瀏覽器后該cookie便失效，避免非法用戶盜竊合法用戶的cookie。</p><p>　　5.服務器與站點之間信息傳輸的安全保證</p><p>　　從上面的登錄流程可以看出

105、， 子系統(tǒng)和SSO服務器之間需要URL的跳轉來傳遞狀態(tài)信息或者用戶名以及口令，如何確保這些信息的安全性也是系統(tǒng)需要著重考慮的問題。我們讓子系統(tǒng)和服務器之間共享RSA算法的一對密鑰，采用非對稱加密和數字簽名的方法確保這些信息的保密性以及不被篡改。</p><p>　　子系統(tǒng)與SSO服務器之間URL的跳轉分以下三種情況：</p><p>　?。?）.如果用戶第一次訪問子系統(tǒng)，子系統(tǒng)生成一個隨機

106、值作為登錄ID，然后構造URL，</p><p>　　重定向到SSO服務器。URL的格式[6]</p><p><b>　　如下所示：</b></p><p>　　http://sso服務器URL? siteid&loginid&sigtext&siteAddress其中，siteid為子系統(tǒng)ID，loginid為登錄I

107、D，siteAddress為從SSO服務器返回子系統(tǒng)時的URL，sigtext為子系統(tǒng)對字符串“l(fā)oginid siteAddress”的數字簽名。簽名過程為先對“l(fā)oginidsiteAddress”用MD5算法取hash值，然后用RSA的公鑰對其進行加密。SSO服務器在收到子系統(tǒng)的重定向請求后，從URL中取出loginid和siteAddress參數，然后用RSA的私鑰對sigtext簽名進行驗證，只有驗證通過后才進行后面的過程。&

108、lt;/p><p>　?。?）.在子系統(tǒng)的登錄頁面， 輸入用戶名和密碼并提交后， 將從子系統(tǒng)跳轉到SSO服務器，這時URL格式如下所示：</p><p>　　http://sso服務器URLsiteid&loginid&username&userpsw&sigtext&siteAddress其中，username和userpsw是經過RSA公鑰加密的用戶

109、名和密碼，siteid、loginid、siteAddress的內容同上，sigtext為“username userpsw loginid siteAddress”的數字簽名。SSO服務器在收到子系統(tǒng)的請求后， 同樣需要對簽名進行驗證， 驗證如果通過， 用私鑰解密username和userpsw字段，核對用戶的合法行。</p><p>　?。?）.從SSO服務器返回子系統(tǒng)時，URL的格式如下所示：http://

110、子系統(tǒng)siteAddress?State&loginid&sigtext</p><p>　　其中，state為返回的狀態(tài)，loginid為登錄ID，sigtext為對“state loginid”的數字簽</p><p>　　其中，state為返回的狀態(tài)，loginid為登錄ID，sigtext為對“state loginid”的數字簽名，子系統(tǒng)首先對數字簽名進行驗證，驗