实现大规模交互式虚拟专用网教学实验的方法.pdf

实现大规模交互式虚拟专用网教学实验的方法
    【技术领域】

    本发明涉及用于网络安全技术领域。具体是一种实现大规模交互式虚拟专用网教学实验的方法。

    背景技术

    VPN(虚拟专用网)是利用公共网资源为客户构成专用网的一种业务。它包含两层含义：它是虚拟的网，即没有固定的物理连接，网络只有用户需要时才建立；它是利用公共网络设施构成的专用网。根据调查，目前市场上的VPN产品是基于实际应用网络的需求研制的，不允许非管理员修改配置，也不能为非管理员用户保存各自的配置，尤其不适合开展VPN技术的教学实验。

    经检索，根据北京天融信网络安全技术有限公司的天融信VPN解决方案技术白皮书(2000年5月)，其网络卫士VPN网关仅可以允许管理员对其进行管理。网络密码机的管理员目前仅有一个级别，即最高权限。管理员是在配置网络密码机地路由信息时通过串口设置产生的。管理员的记录包括名为adm的帐号和口令，管理员控制终端的IP地址等信息。一台网络密码机仅有一个管理员帐户。管理员要对网络密码机进行管理时，必须从登记的管理终端上经过一次性口令的认证，才能访问网络密码机的管理界面。若为每个小组安装单独的VPN，不仅浪费资源、占用大量机架空间，而且灵活性差、不便于集中管理和控制，同时也不便于学生和老师之间的交流。在进一步的检索中，尚未发现与本发明主题相同或者类似的文献报道。

    【发明内容】

    本发明的目的在于解决现有技术的不足，提供一种实现大规模交互式虚拟专用网教学实验的方法，使基于该方法设计的VPN教学实验系统很好地解决网络安全问题日益严重、VPN等网络安全技术进一步发展，而教学实践环节却缺乏相应教学实验的矛盾。

    本发明是通过以下技术方案实现的，本发明通过管理中心为实验者和VPN安全网关建立连接，使用非对称加密及D-F(Diffie-Hellman)密钥交换方法实现身份认证，遵循IETF(internet工程任务组)制定的IPSEC协议(IP安全协议)实现VPN，通过TCP(传输控制协议)可靠的连接来进行实验数据的传输，最终通过管理中心来统一进行VPN控制和远端用户的管理，从而解决当实验者数量较大时，对用户的管理和对VPN维护变得困难的问题。

    所述的通过管理中心为实验者和VPN安全网关建立连接，三方交互流程如下：

    a.实验者(客户端)向管理中心(服务器)请求身份ID，通过后登陆管理中心系统。实验者登陆管理中心时应通过双向的证书交换完成对双方的身份验证，具体流程如下：

    (1)服务器主动提交服务器端的证书以及服务器支持的验证算法列表：

    (2)客户端验证服务器证书的有效性；

    (3)客户端选择验证算法，并生成本地随机数1；

    (4)客户端本地执行选定的验证算法，并获得验证结果1；

    (5)客户端将客户端证书、选择的验证算法和生成的随机数发送到服务器端；

    (6)服务器验证客户提供证书的有效性；

    (7)服务器解密随机数1并响应验证算法；

    (8)服务器生成随机数2并本地计算验证结果2；

    (9)服务器返回验证结果和生成的随机数2到客户端；

    (10)客户端比较两端产生的验证结果；

    (11)客户端解密随机数2并响应验证算法生成验证结果2；

    (12)客户端返回验证结果2；

    (13)服务器比较两端产生的验证结果；

    (14)服务器端记录身份验证的结果。

    b.教师以教师身份登录进入管理中心，进行远程对VPN网关操作和实验模块的开放，如本次实验的实验目的、实验要求、实验注意事项、实验步骤等。

    c.学生获得身份ID后可以多人同时开展实验。登录管理中心后，查看本次实验内容，包括实验目的、实验要求、实验注意事项、实验步骤等。

    d.根据实验要求进行实验。向管理中心发送对VPN配置和操作信息通过TCP可靠的连接来进行可靠发送；同时接收管理中心发送的错误提示，并对加密数据流及实验结果进行分析，生成统计报表及曲线图形等。

    e.同时管理中心记录本组学生的身份ID，自动生成相应记录文件，学生所做的规则配置都记录在这些文件中。学生配置完成后管理中心分析该配置文件，如果配置正确则对VPN进行操作，如果不正确则向学生发送出错信息。这样一来，每个学生感觉就是在操作的是一台独立的VPN主机。这正是大规模交互式VPN教学实验系统的特点。

    f.实验中管理中心提供监控管理能力，包括：显示并发连接的数量，控制每条连接的速率，显示实验用户信息(身份ID，IP以及使用的端口)等。

    g.实验完成后，管理中心自动将学生的实验结果保存下来，并可以自动生成实验报告，教师可登录系统查看任何学生的实验结果及报告。

    使用大规模交互式VPN教学实验方法的优势有三：(1)大规模性。支持数百名用户同时进行VPN实验，以最大程度地利用有限的网络资源。(2)集中式管理。经过身份认证后，管理中心可以给每个实验者动态分配身份ID，只有具有身份ID的实验者才能通过管理中心实现对VPN的配置及进行各种实验。管理中心同时记录实验者的身份ID，自动生成相应记录文件，以便于管理。集中式管理提高了实验环境的安全性，也便于对实验者的监督管理。(3)交互性。管理中心由教师操作，及时提供实验指导，方便实验者同老师的交流。

    本发明的效果是显著的，克服现有商业VPN产品价格昂贵、技术保密等局限性，很好地解决网络安全问题日益严重、VPN等网络安全技术进一步发展，而教学实践环节却缺乏相应教学实验的矛盾。本发明在基于VPN领域尚数首创，可解决多用户同时进行VPN实验的问题。使用该方法设计的大规模交互式VPN教学实验系统完全拥有现今通用VPN的技术，它独有的对教学实验的强力支持是商业VPN所欠缺的，而且这种支持具备良好的可扩展性。使用本实验系统进行VPN的教学实验，多用户可以同时操作，更无需购买昂贵的商业VPN产品，具有很好的推广前景。

    【附图说明】

    图1为本发明方法应用实施例的系统结构示意图

    【具体实施方式】

    以下结合附图和方法的内容提供实施例，本实施例的环境如附图1所示。实验室划分为两个子网，两网通过两个VPN安全网关连接。每个子网中有多台实验电脑。所有的实验电脑及网关都和管理中心相联。

    1.作为网关的PC需安装Linux操作系统，配置两块义太网网卡。其中Private以太网网卡被固定配置为内网接口，Public以太网卡具有固定IP地址。并安装有相应的VPN软件包。

    2.作为实验的PC安装自主开发的大规模交互式VPN教学实验系统客户端软件。该软件负责和管理中心通信，向管理中心请求身份ID及配置信息。

    3.作为管理实验的管理中心PC安装大规模交互式VPN教学实验系统管理中心软件，通过该软件和客户端及VPN网关通信，完成认证用户身份，提供实验要求和配置VPN网关的功能。

    4.教师以教师身份登录进入管理中心，进行远程对VPN网关操作和实验模块的开放。

    5.多位实验用户同时开展实验，通过客户端软件登录管理中心，查看实验的各项要求，并从管理中心获得身份ID。同时管理中心记录本组学生的身份ID，生成相应记录文件，记录实验者所做的规则配置。管理中心分析该配置文件，如果配置正确则对VPN进行操作，如果不正确则向学生发送出错信息。

    6.实验完成后，管理中心将学生的实验结果保存下来，生成实验报告，教师可登录系统查看任何学生的实验结果及报告。

    完成以上实施后，大量实验者可以同时进行VPN实验，达到了大规模交互式VPN实现教学实验的目的。