張滬寅， 陳 晶， 黃建忠， 彭紅梅

(武漢大學 計算機學院; 網(wǎng)絡安全學院，武漢 430072)

0 引 言

2013年教育部發(fā)布文件[1-3]著重強調(diào)要逐步建設一批具有示范、引領作用的虛擬仿真實驗教學中心，同時伴隨大規(guī)模開放在線課程(MOOC和MOOE)的快速發(fā)展，近幾年遠程開放式虛擬仿真實踐教學模式越來越得到關注和重視[4]。目前，國內(nèi)多所高校已經(jīng)建成了可支撐網(wǎng)絡安全實踐教學的虛擬仿真實驗教學中心，成果顯著。但新的問題也隨之而來，諸如虛擬仿真專業(yè)實踐教學體系不完備、實驗教學資源開放共享度低、有效利用率低等問題愈發(fā)明顯，最為突出的是，由于缺乏教學思路的匠心設計、研發(fā)技術不成熟等因素的限制，導致能夠真正鍛煉和提升學生網(wǎng)絡安全技術水平和職業(yè)勝任力的精良設計型、綜合型、創(chuàng)新研究型等復雜實驗嚴重不足，這對于充分鍛煉學生的動手能力、思維能力、創(chuàng)新能力、利用所學知識解決復雜工程問題的能力，教學效果并不理想，也有悖于OBE工程科技人才培養(yǎng)理念[5-6]。因此，研發(fā)如何集知識性、趣味性、挑戰(zhàn)性、創(chuàng)新性于一體的復雜實驗，打造網(wǎng)絡安全虛擬仿真“金課”，將成為網(wǎng)絡安全虛擬仿真實踐教學改革和實驗教學中心建設的重中之重。本文將重點探討網(wǎng)絡安全虛擬仿真實驗教學中心針對該課題的建設成效，以及在網(wǎng)絡安全復雜實驗研發(fā)和教學改革方面的探索嘗試和階段性創(chuàng)新成果。

1 網(wǎng)絡安全虛擬仿真實驗教學平臺設計

網(wǎng)絡安全虛擬仿真實驗教學平臺是一套支持大規(guī)模并發(fā)的在線虛擬仿真實驗平臺，并內(nèi)置云計算、大數(shù)據(jù)、人工智能、信息安全等多學科的專業(yè)課程實驗教學資源，方便學院組建多學科交叉融合的課程體系，結(jié)合系統(tǒng)完善的學習路徑和行為、教學管理等大數(shù)據(jù)分析功能，可有效促進和提升教師“以學生個性和興趣為基礎”的“因材施教”教學質(zhì)量。平臺提供的院校級教務管理決策支持服務，可有效助力學校教育信息化、工程教育教學改革和高素質(zhì)泛IT技術人才培養(yǎng)。平臺特有的強大云融合技術，支持學校建設院級、校級、區(qū)域級教學資源共享服務中心，高效推進泛IT領域優(yōu)秀工程科技人才培養(yǎng)，驅(qū)動武漢市、湖北省乃至全國泛IT產(chǎn)業(yè)和經(jīng)濟發(fā)展。

1.1 平臺系統(tǒng)架構設計

平臺是基于OpenStack云架構技術實現(xiàn)，融合SDN、KVM等虛擬化技術，并根據(jù)教學場景做了大量二次開發(fā)，構建的高性能、高并發(fā)、彈性可擴展的大規(guī)模云融合虛擬仿真實驗教學平臺[7-10]，其業(yè)務架構如圖1所示。

圖1 虛擬仿真實驗教學平臺系統(tǒng)架構圖

該平臺的云服務層由兩部分構成：基礎硬件資源子層和虛擬資源子層?；A硬件資源子層主要包含控制節(jié)點服務器、計算節(jié)點服務器、存儲服務器、交換機等硬件設備及相關組網(wǎng)；虛擬資源子層主要為OpenStack+KVM提供實驗所需的虛擬資源調(diào)度、監(jiān)控，虛擬機的生命周期管理等。虛擬網(wǎng)絡服務模塊主要實現(xiàn)虛擬機的網(wǎng)絡資源管理，以及虛擬網(wǎng)絡的二層/三層組網(wǎng)管控服務[11-14]。

1.2 平臺的教學價值優(yōu)勢和特點

網(wǎng)絡安全虛擬仿真實驗對比實體實驗，最大的區(qū)別在于用虛擬的手段模擬了成本昂貴的實體實驗器材和實驗場地，節(jié)省了資金，同時帶來了教學的靈活性；避免破壞性。因此網(wǎng)絡安全虛擬仿真教學平臺教學價值的重要性不言而喻，并具備以下優(yōu)勢和特點：

(1) 教學方式靈活。所有實驗資源及實驗環(huán)境均部屬于云端，用戶無需在本地部屬實驗環(huán)境，只要網(wǎng)絡環(huán)境暢通既可啟動云端虛擬機，一鍵式部署實驗環(huán)境進行實驗。

(2) 實驗環(huán)境獨立。使用虛擬機來構造各種實驗環(huán)境，使用Vlan、Vxlan虛擬網(wǎng)絡技術保證實驗環(huán)境的獨立。

(3) 危險、極端實驗環(huán)境仿真?？商摂M仿真各種不可逆的危險網(wǎng)絡安全實驗環(huán)境。

(4) 教學可實時跟蹤。提供實驗實時錄屏功能，可記錄學生所有操作步驟，老師可以隨時檢查并糾正學生的操作錯誤。

(5) 支持實驗快照。實驗操作過程中可以隨時保存實驗狀態(tài)，下次可以恢復快照，繼續(xù)實驗流程。

(6) 寫時拷貝技術。平臺使用稀疏文件技術和COW(寫時拷貝)技術，最大限度節(jié)省硬件磁盤成本。

(7) 高效學習行為分析?？筛鶕?jù)學生操作記錄進行學習行為分析，形成學習用戶畫像，便于老師掌握教學效果、查漏補缺和因材施教，便于學生了解自己學習的優(yōu)勢和不足等具體情況。

(8) 支持區(qū)域教學資源共享服務中心功能。實現(xiàn)了校內(nèi)、校際間教學資源服務共享，打造以武漢大學網(wǎng)絡安全學院為中心，服務于全校、武漢市乃至整個湖北區(qū)域的優(yōu)秀教學資源共享平臺。

2 “四類型六環(huán)節(jié)”實踐教學體系建設與探索

遵循學?！昂竦螺d物”的辦學思想和“創(chuàng)新能力、創(chuàng)新意識、創(chuàng)新人格”的教育理念，緊密結(jié)合當前社會環(huán)境對人才需求，學院設計并實現(xiàn)了覆蓋網(wǎng)絡安全人才培養(yǎng)全過程的“四類型六環(huán)節(jié)”網(wǎng)絡安全專業(yè)實踐教學體系，如圖2所示。網(wǎng)絡安全專業(yè)4年的本科工程技術人才培養(yǎng)，需要充分思考學生的入學基礎和個性化學習心理，制定符合學生接受水平的由易到難階梯漸進式專業(yè)課程教學計劃。因此學院根據(jù)具體課程和集中實踐教學項目的難易程度和學科知識技能范圍覆蓋度，將專業(yè)整體實踐教學環(huán)節(jié)細分為：認知實驗、驗證實驗、設計實驗、綜合實訓、畢業(yè)設計和科研競賽六個環(huán)節(jié)，完成四種類型實驗，分別是：專業(yè)基礎實驗、專業(yè)核心能力實驗、專業(yè)綜合實驗、科研創(chuàng)新實驗。

圖2 網(wǎng)絡安全虛擬仿真實踐教學體系

3 網(wǎng)絡安全虛擬仿真復雜實驗研究與創(chuàng)新

依托網(wǎng)絡安全虛擬仿真實驗教學平臺和多年積累的實踐教學經(jīng)驗，學院開發(fā)了多種虛擬仿真復雜實驗課程，基于網(wǎng)絡安全虛擬仿真實驗教學平臺的專業(yè)課程實踐教學效果得到明顯提升。

3.1 網(wǎng)絡安全虛擬仿真復雜實驗場景設計技術框架

網(wǎng)絡安全虛擬仿真包括以下維度：設備仿真、場景仿真、結(jié)構流程仿真。每種網(wǎng)絡安全試驗仿真環(huán)境由虛擬機、設備仿真，通過拓撲組件連接，形成一套完整的仿真試驗環(huán)境[15]。

網(wǎng)絡安全虛擬仿真復雜實驗的主要場景軟硬件資源編排和部署方式如圖3所示，每種實驗場景都部署了仿真典型企業(yè)網(wǎng)絡場景的設備(虛擬主機)、網(wǎng)絡拓撲、軟件系統(tǒng)環(huán)境和完成實驗任務所需的多種實驗工具[16]。

圖3 網(wǎng)絡安全虛擬仿真實驗場景軟硬件資源編排和部署原理圖

3.2 網(wǎng)絡安全虛擬仿真復雜實驗教學設計原則

為切實保障優(yōu)質(zhì)的教學質(zhì)量和效果，網(wǎng)絡安全領域虛擬仿真實驗任務設計遵循以下原則：

(1) 遵循教育心理學規(guī)律，從學習任務的利用性價值激發(fā)學習興趣，設計實驗任務。

(2) 要求學生在充分理解并掌握網(wǎng)絡安全相關知識和技能的基礎上，階段性完成每個實驗的幾個任務。完成這些任務，既需要學生積極思考，又能激發(fā)學生解決網(wǎng)絡安全問題的探索欲望和學習興趣。

(3) 每門課程所有實驗的知識技能點全面覆蓋課程知識技能點，并有適度拓展和挑戰(zhàn)。

(4) 實驗任務設置考核點、考核題目以及任務成績分值，系統(tǒng)自動統(tǒng)計分數(shù)。

(5) 實驗任務設置操作時長限制，有效督促學生高效完成實驗任務。

(6) 對于抽象課程，設計可視化操作界面雙模式(可視化操作驗證和在線編程)實驗任務，充分鍛煉學生對抽象原理的理解能力和運用所學知識解決復雜工程問題的能力。

(7) 學生實驗過程中可隨時進行截圖、錄屏、記錄筆記、與老師互動交流等操作。

(8) 實驗的步驟、報告的提交、成績的評定等可由老師針對每個實驗靈活控制。

(9) 平臺提供關鍵詞百科功能，對關鍵詞提供有效知識鏈接，有效促進學生的知識拓展。

3.3 虛擬仿真復雜實驗案例分析

學院已經(jīng)研發(fā)了計算機網(wǎng)絡安全、密碼學、網(wǎng)絡攻防、網(wǎng)絡硬件虛擬仿真等十幾門課程的虛擬仿真復雜實驗，基本覆蓋了網(wǎng)絡安全專業(yè)課程體系。由于每門課程的實驗內(nèi)容以及教學方法均有所不同，每個實驗在教學設計和技術呈現(xiàn)上各具特色，在此僅對網(wǎng)絡安全和密碼學復雜實驗設計的創(chuàng)新特色進行案例介紹和分析。

(1) 網(wǎng)絡安全漏洞挖掘和利用實驗設計。漏洞挖掘?qū)嶒炛荚谕ㄟ^常用網(wǎng)絡掃描工具在企業(yè)復雜網(wǎng)絡場景中的應用，讓學生深刻理解漏洞的概念、特性、必然性以及危害性，并先于攻擊者掌握漏洞挖掘和利用技術。本實驗設計了四個實驗任務，要求學生依次完成：① 使用nmap、MSF和Metasploit進行漏洞挖掘和利用；② 使用nikto、crunch和burpsuit進行網(wǎng)站滲透和控制；③ 獲取webshell權限并拿到目標機開放的遠程桌面端口號；④ 向目標機添加新用戶并控制目標機，獲取目標機文件和數(shù)據(jù)。

學生正式開始實驗之前，平臺會向?qū)W生展示實驗概況以及實驗網(wǎng)絡拓撲結(jié)構，便于學生全面了解實驗背景、實驗任務和實驗原理，有助于學生順利完成實驗任務和考核題目。實驗指導書中的拓展知識和經(jīng)驗分享將有效拓展學生知識視野，培養(yǎng)學生終生學習的良好素養(yǎng)。

學生操作虛擬仿真平臺完成實驗的操作界面如圖4所示。開始實驗時，平臺將為學生創(chuàng)建實驗虛擬機鏡像環(huán)境，并開始實驗計時。操作窗口左側(cè)為學生操作的Linux系統(tǒng)命令環(huán)境，窗口右側(cè)為實驗指導浮動面板，學生通過該面板執(zhí)行提交實驗任務結(jié)果、查看任務操作步驟、記錄筆記、與老師在線問答互動等操作。學生需要依次完成每一個任務，任務完成即獲得該任務考核得分，所有任務都完成，單擊“完成實驗”按鈕，即可獲得整個實驗的操作得分。

圖4 漏洞挖掘和利用虛擬仿真實驗操作畫面截圖

(2) 密碼學復雜實驗創(chuàng)新設計分析。傳統(tǒng)的密碼學實驗教學大多采用驗證式實驗，學生缺少深入的辯證思考，也未能嘗試獨立應用算法解決實際問題。

虛擬仿真密碼學復雜實驗使用虛擬化+Web IDE編程可視化模式，模擬密碼學算法的加/解密實際工作流程，讓學生在可視化圖形界面進行數(shù)據(jù)驗證或在線算法編程實現(xiàn)，直觀感受每個算法每一步的執(zhí)行過程和結(jié)果。

虛擬仿真實驗平臺的Web IDE集成編程環(huán)境如圖5中的代碼區(qū)所示，平臺支撐語法高亮、自動縮進、代碼版本管理等基本功能，提供交互式變異執(zhí)行的展示終端，可支持C/C++、Java、Python等多種編程語言，為學生帶來良好的代碼編輯和終端交互體驗。學生通過密碼算法編程實戰(zhàn)，可獨立完成部分或全部算法的源代碼實現(xiàn)。

圖5 密碼學MD5算法實驗操作畫面

為了讓學生更加直觀感受密碼學抽象算法的加解密流程，設計了可視化算法流程數(shù)據(jù)跟蹤和驗證面板，讓學生體驗“看得見”的密碼學算法加解密流程。

圖6以MD5算法為例，闡釋密碼學可視化算法流程數(shù)據(jù)跟蹤和驗證的實驗任務操作過程。如圖6左側(cè)面板所示，當輸入明文并單擊“開始”按鈕，系統(tǒng)自動計算生成初始的128 bit計算變量，大致算法原理為：系統(tǒng)自動計算生成的128 bit計算變量分為等長4塊，分別存儲在4個寄存器中。每個分塊總共4個回合，每回合計算16步，合計64輪次計算，算法中需要加入sin(x)非線性的函數(shù)參數(shù)值，MD5算法具體原理請參考相關文獻，在此不再贅述。

學生單擊“第一輪函數(shù)變換”按鈕，實驗將切換到右側(cè)的“輪函數(shù)變換”面板，即開始第一回合第一輪次的函數(shù)變換。為考察學生對MD5算法流程的掌握程度，實驗分別選定第1-4回合中某3個輪次的“模232加”和“循環(huán)左移s位”操作結(jié)果輸出對應文本框作為算法流程數(shù)據(jù)驗證點，要求學生實驗程序輸出正確結(jié)果前，先行輸入自己的“模232加”和“循環(huán)左移s位”計算結(jié)果，系統(tǒng)會自動比對學生輸入數(shù)據(jù)的正確性，并將比對結(jié)果顯示到屏幕，同時自動計算學生實驗任務得分。這種方式大大提高了學生學習算法的趣味性和挑戰(zhàn)性，深受學生好評。

圖6 密碼學MD5算法實驗操作畫面

4 特色和創(chuàng)新點

虛擬仿真實驗教學中心建設的特色和創(chuàng)新點主要有以下5個方面：

(1) “四類型六環(huán)節(jié)”實踐教學體系既相互對應，也相對獨立，循序漸進、由淺入深，形成了協(xié)調(diào)一致的專業(yè)實踐教學有機整體，有效保障能力水平不一的學生均能獲得“量身定制”的實踐學習方案。

(2) 基于SDN技術和云融合的網(wǎng)絡安全虛擬仿真實驗場景設計架構，以及強調(diào)“學做合一”的實驗任務設計原則、完備的知識技能覆蓋度，全方位保證學生在仿真實驗中扎實掌握網(wǎng)絡安全關鍵知識和技術。

(3) 流程結(jié)構可視化的復雜實驗以前瞻性教學視野和創(chuàng)新實驗研發(fā)技術為基礎，突破了當前大多網(wǎng)絡安全實驗僅為驗證型實驗的教學局限，讓學生深度參與實驗操作，提升學生學習效果和職業(yè)勝任力。

(4) 大規(guī)模虛擬仿真和并發(fā)訪問能力：可支持500名學生同時并發(fā)在線上課學習。

(5) 區(qū)域資源共享服務中心：實現(xiàn)校內(nèi)、校際間資源服務共享，打造以學院為中心，服務于全校乃至整個區(qū)域的優(yōu)秀教學資源共享平臺。

5 結(jié) 語

學?，F(xiàn)已初步建成具有云融合能力的國家級網(wǎng)絡安全虛擬仿真實驗教學中心和“四類型六環(huán)節(jié)”實踐教學體系，將教育心理學和虛擬仿真技術結(jié)合，創(chuàng)新研發(fā)虛擬仿真圖形可視化綜合與創(chuàng)新型復雜實驗，奠定了建設虛擬仿真實踐教學“金課”的堅實基礎，打造“虛實”結(jié)合的實驗平臺，為國內(nèi)外高校的網(wǎng)絡安全實踐教學積累了辦學經(jīng)驗，推進我國網(wǎng)絡安全專業(yè)發(fā)展和工程科技人才培養(yǎng)有著重要的實踐意義。