劉健

（天津工業(yè)職業(yè)學(xué)院，天津，300400）

在云直播平臺(tái)具體實(shí)施的過程中發(fā)現(xiàn)，現(xiàn)有的各直播平臺(tái)存在在線用戶較多時(shí)直播畫面經(jīng)?？?，教師無法利用板書展開教學(xué)內(nèi)容等一系列問題[1]。為此，本文提出了一種面向全國(guó)高校的全網(wǎng)直播平臺(tái)，各機(jī)構(gòu)能夠以云租戶的身份聯(lián)入平臺(tái)并自行管理各種教學(xué)資源，允許大規(guī)模用戶同時(shí)并發(fā)訪問，設(shè)計(jì)用戶容量高達(dá)10萬人。

1 平臺(tái)架構(gòu)設(shè)計(jì)

為了保證平臺(tái)用戶能夠正常加入直播課程，必須以數(shù)據(jù)安全為基礎(chǔ)進(jìn)行資源共享。因此平臺(tái)設(shè)計(jì)需要滿足以下技術(shù)要求[2]：(1)建立用戶身份認(rèn)證機(jī)制，保證僅為具有相應(yīng)權(quán)限的用戶開放資源；(2)建立資源管理機(jī)制，使不同角色的用戶根據(jù)自身的權(quán)限管理相應(yīng)的教學(xué)資源；(3)提供完善的視頻播放功能，包括智能的視頻內(nèi)容采集、編解碼、傳輸和播放功能。按照以上要求設(shè)計(jì)的平臺(tái)總體架構(gòu)如圖1所示。

圖1 云直播平臺(tái)總體架構(gòu)

1.1 直播網(wǎng)站

平臺(tái)網(wǎng)站為用戶提供交互界面，該界面通過課程列表向用戶展示可觀看的教學(xué)內(nèi)容，利用瀏覽器集成的播放工具進(jìn)行課程播放，支持教師用戶與學(xué)生用戶通過語音工具進(jìn)行交流互動(dòng)[3]。

1.2 身份認(rèn)證機(jī)制

當(dāng)今建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上面的互聯(lián)網(wǎng)購(gòu)物平臺(tái)、集資手機(jī)應(yīng)用軟件都采用的是瀏覽模式和服務(wù)系統(tǒng)相結(jié)合的模式，瀏覽模式和服務(wù)系統(tǒng)相結(jié)合模式獨(dú)具超越其它模式的部分：差異系統(tǒng)之間、軟件之間或是軟硬件組合系統(tǒng)之間的相互協(xié)調(diào)工作的程度將大大提高；平臺(tái)公司用的服務(wù)端的保養(yǎng)將會(huì)減少，一個(gè)符合最低要求的互聯(lián)網(wǎng)軟件能夠使它啟動(dòng)；在瀏覽模式和服務(wù)系統(tǒng)相結(jié)合的通信結(jié)構(gòu)模式下任何一個(gè)數(shù)字計(jì)算機(jī)編碼指令次序全在終端系統(tǒng)上實(shí)行計(jì)算，那么所有的計(jì)算都將由終端獨(dú)立完成，在每個(gè)服務(wù)端需要完成的事情也可以統(tǒng)統(tǒng)拿到終端來完成；因?yàn)闉g覽模式和服務(wù)系統(tǒng)相結(jié)合的通信結(jié)構(gòu)模式采取了Internet超文本、超媒體、超文本傳輸協(xié)議所規(guī)定的通信模式，所以終端的風(fēng)險(xiǎn)系數(shù)小之又小；這使得用戶可以方便使用，安全存儲(chǔ)。

即使瀏覽模式和服務(wù)系統(tǒng)相結(jié)合的通信結(jié)構(gòu)模式以超前的技術(shù)、可靠的安全性能被諸多企業(yè)所應(yīng)用，但瀏覽模式和服務(wù)系統(tǒng)相結(jié)合的通信結(jié)構(gòu)模式也有差強(qiáng)人意的地方：有些設(shè)計(jì)出來的軟件在受到連接時(shí)，部分連接者采取了非動(dòng)性安全代碼作為session key，上文敘述了采取非動(dòng)性安全代碼作為session key安全系數(shù)相對(duì)較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼，這就對(duì)使用者留下了潛在的風(fēng)險(xiǎn)；再加上使用者不注重自己的賬戶和系統(tǒng)防火墻，導(dǎo)致使用者的賬戶和系統(tǒng)的相關(guān)文件和代碼遭到第三方的監(jiān)視和篡改；如今的軟件推廣的人群部分沒有身份信息，軟件承受的風(fēng)險(xiǎn)系數(shù)較高。如今采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把使用者的公鑰和使用者的其他標(biāo)識(shí)信息捆綁在一起在Internet網(wǎng)上識(shí)別使用者ID的方法，能夠有效的處理上文敘述了采取非動(dòng)性安全代碼作為session key安全系數(shù)相對(duì)較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼的難點(diǎn)。還有公開密鑰體系也能夠有效的處理上文敘述的采取非動(dòng)性安全代碼作為session key安全系數(shù)相對(duì)較小，經(jīng)常吸引第三方的惡意監(jiān)視和修改代碼的難點(diǎn)。目前因?yàn)楣_密鑰體系還在實(shí)驗(yàn)階段，所以怎樣把公開密鑰體系和非實(shí)體媒介信息傳遞系統(tǒng)交叉使用是將來學(xué)者們商討的主要課題。

處在使用軟件高峰期時(shí)，面對(duì)賬號(hào)重復(fù)使用的壓力，假設(shè)在軟件使用高峰期時(shí)未能通過一樣的連接客戶端方式，一定會(huì)產(chǎn)生重復(fù)連接的情況。如果使用者在工作時(shí)，被迫重復(fù)連接客戶端，這樣不僅使工作人員工作時(shí)產(chǎn)生不必要的麻煩，還會(huì)使機(jī)關(guān)單位的系統(tǒng)的安全系數(shù)降低，第三方可以簡(jiǎn)單的使用網(wǎng)絡(luò)病毒侵入系統(tǒng)。工作人員重復(fù)鏈接客戶端時(shí)，第三方就會(huì)抓住歷史連接密鑰侵入機(jī)關(guān)單位系統(tǒng)盜取價(jià)值信息，工作人員重復(fù)的連接客戶端時(shí)也會(huì)引發(fā)，安全代碼混亂，資料丟失等由工作人員造成的損失。以上出現(xiàn)的錯(cuò)誤在現(xiàn)今互聯(lián)網(wǎng)平臺(tái)很常見，因?yàn)樵诂F(xiàn)今技術(shù)發(fā)展階段像手機(jī)這樣的通信設(shè)備不能完全代替臺(tái)式計(jì)算機(jī)，再加上非固定媒介信息傳輸，在進(jìn)行信息傳遞的時(shí)候信息的安全系數(shù)講大打折扣，所以在進(jìn)行非固定媒介信息傳輸模式下傳遞信息時(shí)一定設(shè)立相關(guān)部門對(duì)訪問者進(jìn)行ID識(shí)別并判斷其ID系數(shù)。只要可以保證訪問者的意圖安全，互聯(lián)網(wǎng)平臺(tái)就更加安全，完美。

在用戶身份獲得驗(yàn)證通過后，直播平臺(tái)根據(jù)所記錄的用戶信息為用戶分配相應(yīng)的權(quán)限，使用戶能夠按照所具有的權(quán)限訪問平臺(tái)中的教學(xué)資源[4]。身份認(rèn)證的方式有兩種，一是統(tǒng)一身份認(rèn)證，所有用戶具有相同的身份和權(quán)限，二是分布式聯(lián)邦身份認(rèn)證，不同的用戶群體具有不同的身份屬性和訪問權(quán)限。對(duì)于面向全國(guó)高校提供直播的教學(xué)的云直播平臺(tái)，其用戶規(guī)模是十分龐大的，據(jù)統(tǒng)計(jì)當(dāng)前在校大學(xué)生數(shù)量為4844萬余人，在職教師數(shù)量為256萬余人，且每一年學(xué)生用戶群體都會(huì)因入學(xué)和畢業(yè)而產(chǎn)生較大的變化，所以統(tǒng)一身份認(rèn)證并不適用。

1.3 平臺(tái)資源管理

對(duì)于云直播平臺(tái)中的各類教學(xué)資源，應(yīng)建立統(tǒng)一的資源管理機(jī)制。平臺(tái)中共包含視頻、課程、教室、租戶4種資源，分別交由平臺(tái)管理員、課程管理員、教室管理員和學(xué)校管理員進(jìn)行管理。不同的管理員角色具有不同的管理權(quán)限，平臺(tái)中所有教學(xué)資源在存儲(chǔ)期內(nèi)都要按照既定的流程進(jìn)行管理，因此建立資源管理機(jī)制的首要工作就是在細(xì)粒度模式下開展權(quán)限管理并制定合理的資源管理流程。

(1)租戶管理。每一所加入云直播平臺(tái)的高?；蚪虒W(xué)機(jī)構(gòu)都具有一個(gè)平臺(tái)租戶的身份。租戶管理主要包括租戶身份以及開通和收看直播權(quán)限的申請(qǐng)和審批、租戶身份認(rèn)證信息的維護(hù)以及租戶基本信息的維護(hù)等。

(2)教室管理。云直播平臺(tái)中的教室既包括高校內(nèi)的多媒體教學(xué)課堂，又包括利用視頻流組建的網(wǎng)絡(luò)虛擬教室。教室管理主要是指直播教室的新建與維護(hù)、課堂視頻流監(jiān)控、教室管理員權(quán)限管理等。

(3)課程管理。直播課程的管理主要包括設(shè)立直播課程的申請(qǐng)和審批、課程表的編輯與更新、課程基本信息管理、課程視頻回放管理以及選課名單的維護(hù)等。

1.4 視頻資源管理

教學(xué)視頻的管理主要是指視頻的采集、傳輸、編解碼和播放，通過云直播平臺(tái)，所有教學(xué)視頻都能在任何一間虛擬教室內(nèi)播放，從而保證所有高校都能參與網(wǎng)絡(luò)直播教學(xué)；教師用戶只需啟動(dòng)語音設(shè)備即可開始在線講授課程內(nèi)容；學(xué)生用戶無需借助任何軟件即可在計(jì)算機(jī)、手機(jī)、平板電腦等設(shè)備上收看直播，完成課程的學(xué)習(xí)。

2 關(guān)鍵技術(shù)的實(shí)現(xiàn)

2.1 建立CARSI認(rèn)證機(jī)制

CARSI是一種聯(lián)邦身份認(rèn)證機(jī)制，當(dāng)前多數(shù)國(guó)家的高等院校都采用了Shiebboleth架構(gòu)（如圖2所示）的CARSI認(rèn)證機(jī)制，其運(yùn)行原理是，加入云直播平臺(tái)的高?；驒C(jī)構(gòu)作為IdP（identityprovider，身份提供者）向平臺(tái)提供自身的身份信息；同時(shí)平臺(tái)則作為SP（serviceprovider，服務(wù)提供者）對(duì)所有教學(xué)資源進(jìn)行管理，接收用戶的登錄和操作請(qǐng)求，調(diào)取IdP的身份信息并以此為依據(jù)為用戶分配訪問權(quán)限[5]；身份認(rèn)證過程中需要可靠第三方的介入，由其對(duì)IdP的身份信息進(jìn)行識(shí)別和重新定位。

圖2 Shiebboleth架構(gòu)示意圖

在CARSI身份認(rèn)證機(jī)制下，平臺(tái)對(duì)用戶的身份認(rèn)證能夠憑借Oauth服務(wù)以十分高效的方式完成，具體認(rèn)證過程如圖3所示。

圖3 CARSI身份認(rèn)證流程

首先，平臺(tái)通過authorize接口調(diào)取已經(jīng)獲得授權(quán)碼的租戶IdP所對(duì)應(yīng)的callback_erl；接下來，通過token接口調(diào)取訪問令牌；最后，利用resource接口對(duì)存儲(chǔ)的教學(xué)資源進(jìn)行訪問。CARSI身份認(rèn)證機(jī)制使獲得了合法身份的高效或機(jī)構(gòu)能夠快速與平臺(tái)建立網(wǎng)絡(luò)連接，同時(shí)也保證了認(rèn)證過程的安全性，有效避免了非法攻擊等事件的發(fā)生。

2.2 構(gòu)建數(shù)據(jù)模型

在統(tǒng)一資源管理機(jī)制下構(gòu)建的數(shù)據(jù)模型如圖4所示。該模型詳細(xì)描述了租戶與用戶、租戶與課程、租戶與教室以及課程與教室之間的具體關(guān)系。模型對(duì)不同角色的用戶進(jìn)行了細(xì)粒度的權(quán)限分配，使各類用戶只能在自己的權(quán)限范圍內(nèi)進(jìn)行訪問和操作。例如，系統(tǒng)中設(shè)置了開放課、校內(nèi)課和班內(nèi)課3種不同開放程度的課程，所有用戶都被允許觀看公開課，而其它2種課程則是需要依據(jù)用戶的身份屬性來判斷其是否具有相應(yīng)課程的觀看權(quán)限。

圖4 統(tǒng)一資源管理機(jī)制下的數(shù)據(jù)模型

2.3 視頻播放

教學(xué)視頻的播放流程如圖5所示。

圖5 教學(xué)視頻的播放流程

其主要環(huán)節(jié)包括：(1)高校教室內(nèi)安裝的攝像頭負(fù)責(zé)視頻的采集和視頻信號(hào)的編碼；每一間教室都被分配了一個(gè)基于RTMP協(xié)議的視頻連接地址。(2)攝像頭與局域網(wǎng)的網(wǎng)關(guān)服務(wù)器連接，通過網(wǎng)關(guān)服務(wù)器將編碼后的視頻流由局域網(wǎng)傳輸至互聯(lián)網(wǎng)。(3)在直播集群中，視頻流由RTMP協(xié)議模式轉(zhuǎn)換為HLS協(xié)議模式，之后被推動(dòng)到各視頻流服務(wù)器，同時(shí)視頻流被錄制并保存在錄制服務(wù)器中。(4)視頻流服務(wù)器面向已獲得權(quán)限的在線用戶提供直播服務(wù)，為了滿足最高10萬用戶的并發(fā)訪問需求，需要在直播集群中部署多臺(tái)視頻流服務(wù)器、推流服務(wù)器和負(fù)載均衡系統(tǒng)。(5)通過錄制服務(wù)器全程錄制教學(xué)視頻并向用戶提供視頻回放服務(wù)。

與當(dāng)前已投入應(yīng)用的直播平臺(tái)相比，本文提出的云直播平臺(tái)具有以下幾點(diǎn)優(yōu)勢(shì)：

(1)技術(shù)門檻很低，教師和學(xué)生用戶無需掌握計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)知識(shí)，直播也無需借助任何軟件，在線教學(xué)可輕松實(shí)現(xiàn)。(2)構(gòu)建了基于課程屬性和租戶屬性的數(shù)據(jù)模型，利用技術(shù)手段限定了課程的開放程度，允許用戶旁聽和觀摩課程，能夠借鑒或欣賞不同的教學(xué)風(fēng)格。(3)建立了CARSI聯(lián)邦身份認(rèn)證機(jī)制，滿足了多所院?；驒C(jī)構(gòu)的接入需求。(4)憑借多臺(tái)服務(wù)器和負(fù)載均衡系統(tǒng)的部署，允許并發(fā)訪問用戶數(shù)量大大提高，經(jīng)驗(yàn)證平臺(tái)在同一課程并發(fā)觀看用戶數(shù)量為27000余人的情況下仍可穩(wěn)定運(yùn)行，無畫面卡滯等現(xiàn)象發(fā)生。

3 結(jié)論

本文提出了一種全國(guó)高?？陕?lián)入的全網(wǎng)云教學(xué)平臺(tái)，利用高校內(nèi)現(xiàn)有的硬件資源采集和處理教學(xué)視頻信號(hào)，通過該平臺(tái)對(duì)教學(xué)資源進(jìn)行統(tǒng)一管理，基于CARSI身份認(rèn)證機(jī)制搭建云服務(wù)安全架構(gòu)。構(gòu)建了基于課程屬性和租戶屬性的數(shù)據(jù)模型，為不同用戶群體制定了不同的訪問策略，有效實(shí)現(xiàn)了教學(xué)資源的安全共享。該平臺(tái)的應(yīng)用將進(jìn)一步推動(dòng)高校教學(xué)模式改革的進(jìn)行。