基于身份认证技术的云平台设计及实现
2022-04-12刘健
刘健
(天津工业职业学院,天津,300400)
在云直播平台具体实施的过程中发现,现有的各直播平台存在在线用户较多时直播画面经常卡滞,教师无法利用板书展开教学内容等一系列问题[1]。为此,本文提出了一种面向全国高校的全网直播平台,各机构能够以云租户的身份联入平台并自行管理各种教学资源,允许大规模用户同时并发访问,设计用户容量高达10万人。
1 平台架构设计
为了保证平台用户能够正常加入直播课程,必须以数据安全为基础进行资源共享。因此平台设计需要满足以下技术要求[2]:(1)建立用户身份认证机制,保证仅为具有相应权限的用户开放资源;(2)建立资源管理机制,使不同角色的用户根据自身的权限管理相应的教学资源;(3)提供完善的视频播放功能,包括智能的视频内容采集、编解码、传输和播放功能。按照以上要求设计的平台总体架构如图1所示。
图1 云直播平台总体架构
1.1 直播网站
平台网站为用户提供交互界面,该界面通过课程列表向用户展示可观看的教学内容,利用浏览器集成的播放工具进行课程播放,支持教师用户与学生用户通过语音工具进行交流互动[3]。
1.2 身份认证机制
当今建立在计算机网络基础上面的互联网购物平台、集资手机应用软件都采用的是浏览模式和服务系统相结合的模式,浏览模式和服务系统相结合模式独具超越其它模式的部分:差异系统之间、软件之间或是软硬件组合系统之间的相互协调工作的程度将大大提高;平台公司用的服务端的保养将会减少,一个符合最低要求的互联网软件能够使它启动;在浏览模式和服务系统相结合的通信结构模式下任何一个数字计算机编码指令次序全在终端系统上实行计算,那么所有的计算都将由终端独立完成,在每个服务端需要完成的事情也可以统统拿到终端来完成;因为浏览模式和服务系统相结合的通信结构模式采取了Internet超文本、超媒体、超文本传输协议所规定的通信模式,所以终端的风险系数小之又小;这使得用户可以方便使用,安全存储。
即使浏览模式和服务系统相结合的通信结构模式以超前的技术、可靠的安全性能被诸多企业所应用,但浏览模式和服务系统相结合的通信结构模式也有差强人意的地方:有些设计出来的软件在受到连接时,部分连接者采取了非动性安全代码作为session key,上文叙述了采取非动性安全代码作为session key安全系数相对较小,经常吸引第三方的恶意监视和修改代码,这就对使用者留下了潜在的风险;再加上使用者不注重自己的账户和系统防火墙,导致使用者的账户和系统的相关文件和代码遭到第三方的监视和篡改;如今的软件推广的人群部分没有身份信息,软件承受的风险系数较高。如今采用证书管理公钥,通过第三方的可信机构CA,把使用者的公钥和使用者的其他标识信息捆绑在一起在Internet网上识别使用者ID的方法,能够有效的处理上文叙述了采取非动性安全代码作为session key安全系数相对较小,经常吸引第三方的恶意监视和修改代码的难点。还有公开密钥体系也能够有效的处理上文叙述的采取非动性安全代码作为session key安全系数相对较小,经常吸引第三方的恶意监视和修改代码的难点。目前因为公开密钥体系还在实验阶段,所以怎样把公开密钥体系和非实体媒介信息传递系统交叉使用是将来学者们商讨的主要课题。
处在使用软件高峰期时,面对账号重复使用的压力,假设在软件使用高峰期时未能通过一样的连接客户端方式,一定会产生重复连接的情况。如果使用者在工作时,被迫重复连接客户端,这样不仅使工作人员工作时产生不必要的麻烦,还会使机关单位的系统的安全系数降低,第三方可以简单的使用网络病毒侵入系统。工作人员重复链接客户端时,第三方就会抓住历史连接密钥侵入机关单位系统盗取价值信息,工作人员重复的连接客户端时也会引发,安全代码混乱,资料丢失等由工作人员造成的损失。以上出现的错误在现今互联网平台很常见,因为在现今技术发展阶段像手机这样的通信设备不能完全代替台式计算机,再加上非固定媒介信息传输,在进行信息传递的时候信息的安全系数讲大打折扣,所以在进行非固定媒介信息传输模式下传递信息时一定设立相关部门对访问者进行ID识别并判断其ID系数。只要可以保证访问者的意图安全,互联网平台就更加安全,完美。
在用户身份获得验证通过后,直播平台根据所记录的用户信息为用户分配相应的权限,使用户能够按照所具有的权限访问平台中的教学资源[4]。身份认证的方式有两种,一是统一身份认证,所有用户具有相同的身份和权限,二是分布式联邦身份认证,不同的用户群体具有不同的身份属性和访问权限。对于面向全国高校提供直播的教学的云直播平台,其用户规模是十分庞大的,据统计当前在校大学生数量为4844万余人,在职教师数量为256万余人,且每一年学生用户群体都会因入学和毕业而产生较大的变化,所以统一身份认证并不适用。
1.3 平台资源管理
对于云直播平台中的各类教学资源,应建立统一的资源管理机制。平台中共包含视频、课程、教室、租户4种资源,分别交由平台管理员、课程管理员、教室管理员和学校管理员进行管理。不同的管理员角色具有不同的管理权限,平台中所有教学资源在存储期内都要按照既定的流程进行管理,因此建立资源管理机制的首要工作就是在细粒度模式下开展权限管理并制定合理的资源管理流程。
(1)租户管理。每一所加入云直播平台的高校或教学机构都具有一个平台租户的身份。租户管理主要包括租户身份以及开通和收看直播权限的申请和审批、租户身份认证信息的维护以及租户基本信息的维护等。
(2)教室管理。云直播平台中的教室既包括高校内的多媒体教学课堂,又包括利用视频流组建的网络虚拟教室。教室管理主要是指直播教室的新建与维护、课堂视频流监控、教室管理员权限管理等。
(3)课程管理。直播课程的管理主要包括设立直播课程的申请和审批、课程表的编辑与更新、课程基本信息管理、课程视频回放管理以及选课名单的维护等。
1.4 视频资源管理
教学视频的管理主要是指视频的采集、传输、编解码和播放,通过云直播平台,所有教学视频都能在任何一间虚拟教室内播放,从而保证所有高校都能参与网络直播教学;教师用户只需启动语音设备即可开始在线讲授课程内容;学生用户无需借助任何软件即可在计算机、手机、平板电脑等设备上收看直播,完成课程的学习。
2 关键技术的实现
2.1 建立CARSI认证机制
CARSI是一种联邦身份认证机制,当前多数国家的高等院校都采用了Shiebboleth架构(如图2所示)的CARSI认证机制,其运行原理是,加入云直播平台的高校或机构作为IdP(identityprovider,身份提供者)向平台提供自身的身份信息;同时平台则作为SP(serviceprovider,服务提供者)对所有教学资源进行管理,接收用户的登录和操作请求,调取IdP的身份信息并以此为依据为用户分配访问权限[5];身份认证过程中需要可靠第三方的介入,由其对IdP的身份信息进行识别和重新定位。
图2 Shiebboleth架构示意图
在CARSI身份认证机制下,平台对用户的身份认证能够凭借Oauth服务以十分高效的方式完成,具体认证过程如图3所示。
图3 CARSI身份认证流程
首先,平台通过authorize接口调取已经获得授权码的租户IdP所对应的callback_erl;接下来,通过token接口调取访问令牌;最后,利用resource接口对存储的教学资源进行访问。CARSI身份认证机制使获得了合法身份的高效或机构能够快速与平台建立网络连接,同时也保证了认证过程的安全性,有效避免了非法攻击等事件的发生。
2.2 构建数据模型
在统一资源管理机制下构建的数据模型如图4所示。该模型详细描述了租户与用户、租户与课程、租户与教室以及课程与教室之间的具体关系。模型对不同角色的用户进行了细粒度的权限分配,使各类用户只能在自己的权限范围内进行访问和操作。例如,系统中设置了开放课、校内课和班内课3种不同开放程度的课程,所有用户都被允许观看公开课,而其它2种课程则是需要依据用户的身份属性来判断其是否具有相应课程的观看权限。
图4 统一资源管理机制下的数据模型
2.3 视频播放
教学视频的播放流程如图5所示。
图5 教学视频的播放流程
其主要环节包括:(1)高校教室内安装的摄像头负责视频的采集和视频信号的编码;每一间教室都被分配了一个基于RTMP协议的视频连接地址。(2)摄像头与局域网的网关服务器连接,通过网关服务器将编码后的视频流由局域网传输至互联网。(3)在直播集群中,视频流由RTMP协议模式转换为HLS协议模式,之后被推动到各视频流服务器,同时视频流被录制并保存在录制服务器中。(4)视频流服务器面向已获得权限的在线用户提供直播服务,为了满足最高10万用户的并发访问需求,需要在直播集群中部署多台视频流服务器、推流服务器和负载均衡系统。(5)通过录制服务器全程录制教学视频并向用户提供视频回放服务。
与当前已投入应用的直播平台相比,本文提出的云直播平台具有以下几点优势:
(1)技术门槛很低,教师和学生用户无需掌握计算机和网络相关知识,直播也无需借助任何软件,在线教学可轻松实现。(2)构建了基于课程属性和租户属性的数据模型,利用技术手段限定了课程的开放程度,允许用户旁听和观摩课程,能够借鉴或欣赏不同的教学风格。(3)建立了CARSI联邦身份认证机制,满足了多所院校或机构的接入需求。(4)凭借多台服务器和负载均衡系统的部署,允许并发访问用户数量大大提高,经验证平台在同一课程并发观看用户数量为27000余人的情况下仍可稳定运行,无画面卡滞等现象发生。
3 结论
本文提出了一种全国高校可联入的全网云教学平台,利用高校内现有的硬件资源采集和处理教学视频信号,通过该平台对教学资源进行统一管理,基于CARSI身份认证机制搭建云服务安全架构。构建了基于课程属性和租户属性的数据模型,为不同用户群体制定了不同的访问策略,有效实现了教学资源的安全共享。该平台的应用将进一步推动高校教学模式改革的进行。