为保障实验教学的有序进行， 教学平台配备了系统的网络管理与安全机制

1.网络身份管理系统

为了保证构建在通用平台上的虚拟实验系统具有一定的安全性，在平台的设计中采用多种措施来保证平台的安全，包括用户权限的设计、身份验证、对存储在客户端的数据的加密等。平台把用户分为三种角色（教务管理员，教师和学生），这三种角色的用户权限是不同的。在客户端，他们只能操作权限允许的数据；当进行XML Web服务调用时，客户端也只能在服务代理中调用角色相应的服务接口。

当用户登录系统时，客户端将进行用户的身份验证。登录后，存放在磁盘中的有关用户信息的文件内容也进行加密。在实际中，使用DPAPI（Data Protection API）的三重-DES算法对数据进行加密和解密，包括密钥的产生、存储和使用。系统使用DPAPI的计算机存储方式，并在加解密时使用一个附加的熵参数来区分不同的程序。当用户退出时，系统都把用户的ID和密码通过SHA1算法形成摘要存储在Settings FileName文件中。当用户离线登录时，系统会把用户输入的ID和密码变为摘要与文件中存储的摘要进行对比，以验证用户的身份。

2.子网接入与管理维护

虚拟实验系统网络管理遵循校园网的统一架构。总体网络方案包括：主干网以高速交换链路连接各子网，通过VLAN技术形成拥有三个层次的立体网络；各子网内部为交换网络，形成两个层次的平面网络；主干网包括高速交换中心、VLAN路由处理；实行统一集中式的网络管理，建立统一的网络管理系统。主干网汇接各子网，形成中心交换；子网通过高速交换链路连接到主干网；实行全网范围的集中VLAN划分与管理；在网络中心进行集中控制和管理；每个子网划分成多个工作组网；桌面机连接到基层网段上，服务器、工作站连接到高层网络。在网络管理上，通过网管系统，完成实验系统平台的网络监管和安全控制。鉴于网络管理是网络可用性的关键组成，系统不仅依托各种必要的先进技术支持手段,同时制定了合理、有效的组织体系和规章制度，确保网络的稳定运行。

3.安全运行

为防范网络病毒对实验系统平台的破坏，局域网服务器不仅配备有专业、可靠的防病毒软件，局域网内还配备网络防病毒管理平台，实现对全网病毒疫情的监控，并提供整体防病毒策略配置、灾难恢复等管理功能。

为了防范非法用户侵入系统，虚拟实验系统平台提供了用户身份验证及监控功能。认证过程为：①用户登录系统时，客户端将用户名、密码、IP地址和MAC地址等信息通过对称密钥(3DES)加密后发送给认证系统WebService；②认证系统WebService将信息解密后，交给应用服务器的用户认证Bean，通过JNDI访问LDAP服务器，对用户身份进行认证和授权检测；③检测通过后通知网关放开此用户；④向客户端发送一个随机生成的令牌(Token)；⑤客户端随后即用此令牌和IP地址、MAC地址等信息加密，定时向认证系统发送更新消息；⑥认证系统更新在线用户数据库；⑦认证系统后台定时查询在线用户数据库；⑧一旦超过一定时间没有更新用户状态，或者用户IP地址、MAC地址发生变动，即通知网关强行断开此用户的连接。使用这种方式可以大大提高网关认证系统的安全性， 首先加密传输的用户名和密码难以被Sniffer破解，另外用户IP地址、MAC地址、用户名和随机令牌的绑定传输，可以有效防止IP地址盗用和非法DHCP服务器造成的账号盗用。

802.1X认证，称为基于端口的访问控制协议认证，它将传统的出口控制迁移到入口控制，实现对端口的用户级的接入控制，其优势是认证与业务分离有利于解决网络瓶颈，对设备的整体性能要求不高，有效降低建网成本。

基于802.1X的校园网接入认证安全防御，采用802.1X认证技术，结合ARP入侵检测防御和IP过滤防御机制， 在接入认证交换机上做到“真实”的用户IP地址+用户MAC地址+交换机端口的绑定，加上VLAN技术，可实现不同网络用户分组对不同网络资源的权限访问控制，有助于虚拟实验系统平台管理、维护工作，能够很好地解决虚拟实验系统平台用户分组权限管理及安全问题。