基于身份認證技術的云平臺設計及實現(xiàn)

劉健

（天津工業(yè)職業(yè)學院，天津，300400）

在云直播平臺具體實施的過程中發(fā)現(xiàn)，現(xiàn)有的各直播平臺存在在線用戶較多時直播畫面經(jīng)?？?，教師無法利用板書展開教學內容等一系列問題[1]。為此，本文提出了一種面向全國高校的全網(wǎng)直播平臺，各機構能夠以云租戶的身份聯(lián)入平臺并自行管理各種教學資源，允許大規(guī)模用戶同時并發(fā)訪問，設計用戶容量高達10萬人。

1 平臺架構設計

為了保證平臺用戶能夠正常加入直播課程，必須以數(shù)據(jù)安全為基礎進行資源共享。因此平臺設計需要滿足以下技術要求[2]：(1)建立用戶身份認證機制，保證僅為具有相應權限的用戶開放資源；(2)建立資源管理機制，使不同角色的用戶根據(jù)自身的權限管理相應的教學資源；(3)提供完善的視頻播放功能，包括智能的視頻內容采集、編解碼、傳輸和播放功能。按照以上要求設計的平臺總體架構如圖1所示。

圖1 云直播平臺總體架構

1.1 直播網(wǎng)站

平臺網(wǎng)站為用戶提供交互界面，該界面通過課程列表向用戶展示可觀看的教學內容，利用瀏覽器集成的播放工具進行課程播放，支持教師用戶與學生用戶通過語音工具進行交流互動[3]。

1.2 身份認證機制

當今建立在計算機網(wǎng)絡基礎上面的互聯(lián)網(wǎng)購物平臺、集資手機應用軟件都采用的是瀏覽模式和服務系統(tǒng)相結合的模式，瀏覽模式和服務系統(tǒng)相結合模式獨具超越其它模式的部分：差異系統(tǒng)之間、軟件之間或是軟硬件組合系統(tǒng)之間的相互協(xié)調工作的程度將大大提高；平臺公司用的服務端的保養(yǎng)將會減少，一個符合最低要求的互聯(lián)網(wǎng)軟件能夠使它啟動；在瀏覽模式和服務系統(tǒng)相結合的通信結構模式下任何一個數(shù)字計算機編碼指令次序全在終端系統(tǒng)上實行計算，那么所有的計算都將由終端獨立完成，在每個服務端需要完成的事情也可以統(tǒng)統(tǒng)拿到終端來完成；因為瀏覽模式和服務系統(tǒng)相結合的通信結構模式采取了Internet超文本、超媒體、超文本傳輸協(xié)議所規(guī)定的通信模式，所以終端的風險系數(shù)小之又?。贿@使得用戶可以方便使用，安全存儲。

即使瀏覽模式和服務系統(tǒng)相結合的通信結構模式以超前的技術、可靠的安全性能被諸多企業(yè)所應用，但瀏覽模式和服務系統(tǒng)相結合的通信結構模式也有差強人意的地方：有些設計出來的軟件在受到連接時，部分連接者采取了非動性安全代碼作為session key，上文敘述了采取非動性安全代碼作為session key安全系數(shù)相對較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼，這就對使用者留下了潛在的風險；再加上使用者不注重自己的賬戶和系統(tǒng)防火墻，導致使用者的賬戶和系統(tǒng)的相關文件和代碼遭到第三方的監(jiān)視和篡改；如今的軟件推廣的人群部分沒有身份信息，軟件承受的風險系數(shù)較高。如今采用證書管理公鑰，通過第三方的可信機構CA，把使用者的公鑰和使用者的其他標識信息捆綁在一起在Internet網(wǎng)上識別使用者ID的方法，能夠有效的處理上文敘述了采取非動性安全代碼作為session key安全系數(shù)相對較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼的難點。還有公開密鑰體系也能夠有效的處理上文敘述的采取非動性安全代碼作為session key安全系數(shù)相對較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼的難點。目前因為公開密鑰體系還在實驗階段，所以怎樣把公開密鑰體系和非實體媒介信息傳遞系統(tǒng)交叉使用是將來學者們商討的主要課題。

處在使用軟件高峰期時，面對賬號重復使用的壓力，假設在軟件使用高峰期時未能通過一樣的連接客戶端方式，一定會產(chǎn)生重復連接的情況。如果使用者在工作時，被迫重復連接客戶端，這樣不僅使工作人員工作時產(chǎn)生不必要的麻煩，還會使機關單位的系統(tǒng)的安全系數(shù)降低，第三方可以簡單的使用網(wǎng)絡病毒侵入系統(tǒng)。工作人員重復鏈接客戶端時，第三方就會抓住歷史連接密鑰侵入機關單位系統(tǒng)盜取價值信息，工作人員重復的連接客戶端時也會引發(fā)，安全代碼混亂，資料丟失等由工作人員造成的損失。以上出現(xiàn)的錯誤在現(xiàn)今互聯(lián)網(wǎng)平臺很常見，因為在現(xiàn)今技術發(fā)展階段像手機這樣的通信設備不能完全代替臺式計算機，再加上非固定媒介信息傳輸，在進行信息傳遞的時候信息的安全系數(shù)講大打折扣，所以在進行非固定媒介信息傳輸模式下傳遞信息時一定設立相關部門對訪問者進行ID識別并判斷其ID系數(shù)。只要可以保證訪問者的意圖安全，互聯(lián)網(wǎng)平臺就更加安全，完美。

在用戶身份獲得驗證通過后，直播平臺根據(jù)所記錄的用戶信息為用戶分配相應的權限，使用戶能夠按照所具有的權限訪問平臺中的教學資源[4]。身份認證的方式有兩種，一是統(tǒng)一身份認證，所有用戶具有相同的身份和權限，二是分布式聯(lián)邦身份認證，不同的用戶群體具有不同的身份屬性和訪問權限。對于面向全國高校提供直播的教學的云直播平臺，其用戶規(guī)模是十分龐大的，據(jù)統(tǒng)計當前在校大學生數(shù)量為4844萬余人，在職教師數(shù)量為256萬余人，且每一年學生用戶群體都會因入學和畢業(yè)而產(chǎn)生較大的變化，所以統(tǒng)一身份認證并不適用。

1.3 平臺資源管理

對于云直播平臺中的各類教學資源，應建立統(tǒng)一的資源管理機制。平臺中共包含視頻、課程、教室、租戶4種資源，分別交由平臺管理員、課程管理員、教室管理員和學校管理員進行管理。不同的管理員角色具有不同的管理權限，平臺中所有教學資源在存儲期內都要按照既定的流程進行管理，因此建立資源管理機制的首要工作就是在細粒度模式下開展權限管理并制定合理的資源管理流程。

(1)租戶管理。每一所加入云直播平臺的高?；蚪虒W機構都具有一個平臺租戶的身份。租戶管理主要包括租戶身份以及開通和收看直播權限的申請和審批、租戶身份認證信息的維護以及租戶基本信息的維護等。

(2)教室管理。云直播平臺中的教室既包括高校內的多媒體教學課堂，又包括利用視頻流組建的網(wǎng)絡虛擬教室。教室管理主要是指直播教室的新建與維護、課堂視頻流監(jiān)控、教室管理員權限管理等。

(3)課程管理。直播課程的管理主要包括設立直播課程的申請和審批、課程表的編輯與更新、課程基本信息管理、課程視頻回放管理以及選課名單的維護等。

1.4 視頻資源管理

教學視頻的管理主要是指視頻的采集、傳輸、編解碼和播放，通過云直播平臺，所有教學視頻都能在任何一間虛擬教室內播放，從而保證所有高校都能參與網(wǎng)絡直播教學；教師用戶只需啟動語音設備即可開始在線講授課程內容；學生用戶無需借助任何軟件即可在計算機、手機、平板電腦等設備上收看直播，完成課程的學習。

2 關鍵技術的實現(xiàn)

2.1 建立CARSI認證機制

CARSI是一種聯(lián)邦身份認證機制，當前多數(shù)國家的高等院校都采用了Shiebboleth架構（如圖2所示）的CARSI認證機制，其運行原理是，加入云直播平臺的高?；驒C構作為IdP（identityprovider，身份提供者）向平臺提供自身的身份信息；同時平臺則作為SP（serviceprovider，服務提供者）對所有教學資源進行管理，接收用戶的登錄和操作請求，調取IdP的身份信息并以此為依據(jù)為用戶分配訪問權限[5]；身份認證過程中需要可靠第三方的介入，由其對IdP的身份信息進行識別和重新定位。

圖2 Shiebboleth架構示意圖

在CARSI身份認證機制下，平臺對用戶的身份認證能夠憑借Oauth服務以十分高效的方式完成，具體認證過程如圖3所示。

圖3 CARSI身份認證流程

首先，平臺通過authorize接口調取已經(jīng)獲得授權碼的租戶IdP所對應的callback_erl；接下來，通過token接口調取訪問令牌；最后，利用resource接口對存儲的教學資源進行訪問。CARSI身份認證機制使獲得了合法身份的高效或機構能夠快速與平臺建立網(wǎng)絡連接，同時也保證了認證過程的安全性，有效避免了非法攻擊等事件的發(fā)生。

2.2 構建數(shù)據(jù)模型

在統(tǒng)一資源管理機制下構建的數(shù)據(jù)模型如圖4所示。該模型詳細描述了租戶與用戶、租戶與課程、租戶與教室以及課程與教室之間的具體關系。模型對不同角色的用戶進行了細粒度的權限分配，使各類用戶只能在自己的權限范圍內進行訪問和操作。例如，系統(tǒng)中設置了開放課、校內課和班內課3種不同開放程度的課程，所有用戶都被允許觀看公開課，而其它2種課程則是需要依據(jù)用戶的身份屬性來判斷其是否具有相應課程的觀看權限。

圖4 統(tǒng)一資源管理機制下的數(shù)據(jù)模型

2.3 視頻播放

教學視頻的播放流程如圖5所示。

圖5 教學視頻的播放流程

其主要環(huán)節(jié)包括：(1)高校教室內安裝的攝像頭負責視頻的采集和視頻信號的編碼；每一間教室都被分配了一個基于RTMP協(xié)議的視頻連接地址。(2)攝像頭與局域網(wǎng)的網(wǎng)關服務器連接，通過網(wǎng)關服務器將編碼后的視頻流由局域網(wǎng)傳輸至互聯(lián)網(wǎng)。(3)在直播集群中，視頻流由RTMP協(xié)議模式轉換為HLS協(xié)議模式，之后被推動到各視頻流服務器，同時視頻流被錄制并保存在錄制服務器中。(4)視頻流服務器面向已獲得權限的在線用戶提供直播服務，為了滿足最高10萬用戶的并發(fā)訪問需求，需要在直播集群中部署多臺視頻流服務器、推流服務器和負載均衡系統(tǒng)。(5)通過錄制服務器全程錄制教學視頻并向用戶提供視頻回放服務。

與當前已投入應用的直播平臺相比，本文提出的云直播平臺具有以下幾點優(yōu)勢：

(1)技術門檻很低，教師和學生用戶無需掌握計算機和網(wǎng)絡相關知識，直播也無需借助任何軟件，在線教學可輕松實現(xiàn)。(2)構建了基于課程屬性和租戶屬性的數(shù)據(jù)模型，利用技術手段限定了課程的開放程度，允許用戶旁聽和觀摩課程，能夠借鑒或欣賞不同的教學風格。(3)建立了CARSI聯(lián)邦身份認證機制，滿足了多所院?；驒C構的接入需求。(4)憑借多臺服務器和負載均衡系統(tǒng)的部署，允許并發(fā)訪問用戶數(shù)量大大提高，經(jīng)驗證平臺在同一課程并發(fā)觀看用戶數(shù)量為27000余人的情況下仍可穩(wěn)定運行，無畫面卡滯等現(xiàn)象發(fā)生。

3 結論

本文提出了一種全國高?？陕?lián)入的全網(wǎng)云教學平臺，利用高校內現(xiàn)有的硬件資源采集和處理教學視頻信號，通過該平臺對教學資源進行統(tǒng)一管理，基于CARSI身份認證機制搭建云服務安全架構。構建了基于課程屬性和租戶屬性的數(shù)據(jù)模型，為不同用戶群體制定了不同的訪問策略，有效實現(xiàn)了教學資源的安全共享。該平臺的應用將進一步推動高校教學模式改革的進行。