4.1 校园网络及教学信息化平台(平台水平、主要功能) 4-1-1 平台的设计目标 以网络化、数据库技术为基础,构建具有管理方便、稳定性好,扩展性强,客户端只需浏览器支持的远程虚拟实验平台。学生在实验分室的现场可进行软硬结合、虚实结合的综合性实验,创建虚拟真实的实验操作环境。学生即可单独也可协作完成实验,适应不同的实验模式,便于实现师生间的交流。平台上所有的操作均可在服务器上加以跟踪,并在数据库形成记录,确保平台安全性。网络实验的人数、实验的时间、地点依实验项目的不同均有相当的自由度,使整个实践教学的中心向学生迁移。 4-1-2 平台功能设计原则 以教育信息化为手段,建设具有扩展性、兼容性、前瞻性的管理和共享平台,高效管理实验教学资源。实现实验软件与实验资源的统一管理、灵活应用,实现不同专业的实验软件与实验资源的共享、互用,学生随时随地可在平台上获取软件资源和实验资源,开展自主学习和自主实验,实现教学资源在时间与空间上的高效率共享和使用。 虚拟仿真实验管理与共享平台主要应用虚拟化接入技术,综合单点登录、远程监控等技术与教育深度融合,全面解决高校虚拟仿真实验教学领域内资源的建设、整合、开放与共享问题,提供可持续发展的虚拟实验教学环境,打破当前状况下实验应用的封闭、异构等严重阻碍“共享”的障碍枷锁,并将“有限的物理实验教学空间”拓展成为“无限的虚拟实验教学空间”,以虚拟仿真实验教学资源的开放共享和充分使用为最终目标,促进学校品牌提升,达到国家级虚拟实验教学中心示范作用,最终形成校与校之间,学院与学院之间,校与企业直接共建、共享、共营的局面,更好的为培养校内外实践创新能力的优质人才提供服务。 虚拟仿真实验管理与共享平台是从虚拟仿真实验应用,实验学术资源,线上虚拟实验室,基础数据,实验设施五个管理维度切入,分别主要解决问题:实验应用统一管理、虚拟化实现最大化资源共享利用与虚拟现实技术实现虚拟仿真实验系统建设问题;学术资源共建共享与优质资源建设问题;把有限的物理实验空间扩展成无限虚拟实验室的问题;建设决策采纳问题。采用B/S架构加虚拟接入插件,利用应用虚拟化技术,支持任何架构的教学软件,在任意时间,任何空间使用。主要包含VA虚拟化应用管理平台,学术资源共建共享平台,实验数据管理平台三个基础平台以及实验教务管理系统、虚拟仿真实验教学系统、实验数据查询分析系统构成。通过统一数据总线,中心交互库实现系统间数据互通,避免信息孤岛问题,通过虚拟化应用管理平台的底层支持破解共享难题。 4-1-3 平台的体系结构 总体设计框架 4-1-4 平台的功能 l 虚拟仿真实验管理与共享平台主要功能模块与描述
l 虚拟仿真实验管理与共享平台主要技术路线 应用虚拟化技术 又称应用程序虚拟化技术,是采用类似虚拟终端的技术,将应用程序与操作系统解耦合,为应用程序提供了一个虚拟的运行环境。在这个环境中,不仅包括应用程序的可执行文件,还包括它所需要的运行时环境。从本质上说,应用虚拟化是把应用对低层的系统和硬件的依赖抽象出来,可以解决版本不兼容的问题。在用户访问一个服务器虚拟化后的应用时,用户会获得如同运行本地应用程序一样的访问感受。该技术在虚拟仿真实验教学中的应用具有如下特点:1)实验软件不再受时空局限,充分共享,应用虚拟化技术使得学习者不再局限在物理环境的实验室机房内,也没有时间限制,学习者可以随时(例如课余时间),在宿舍、图书馆等利用各种信息设备终端进入系统练习相关的实验项目。2) 实验软件免安装,部分实验软件都需要在机器上安装该软件(即C/S结构),有些软件安装配置过程较复杂,对学生们要求较高,也占用了大量学习时间。而应用虚拟化技术则只需要管理员在服务器上一次安装配置应用程序,既高效又方便管理。3)不受用户设备(例如电脑)的限制,应用虚拟化技术支持各种设备的访问,实现多终端接入,新兴的各种终端例如IPad等都可以进入实验软件进行实验操作,带来了极大的机动性、灵活性。 流媒体技术 H.264 编码:从一个源实时流将视频和音频流通过软件支持的任何协议同步的分发到任何一个播放器和设备在线码率自适应。实现自适应流媒体。内容保护,提供了一个对内容进行保护的选择,选择的范围从对Flash RTMP 加密流和HLS AES-128保护的标准支持到完整的安全措施。多声道传输,多声道选择能力简化了多种语言的音频流。最好的点播用户体验,依据播放引擎的暂停、倒回和定位能力,平台可以在瞬间完成流传输。在无需编辑视频文件的场景下,通过时间偏离和延时能力可以重新定制观看体验, 以从任何一个开始点播放一个视频。通过内容缓存达到无限制的用户规模,扩展到多服务器安装使用免费的Media Cache插件实现瞬间地流传输以及日后的重播, 可以高效地从一个存储中心向外分发VOD内容。 统一身份认证 CAS集成模式,适用于新开发的信息化系统,每个新的信息化系统需要修改其登录模块代码,需要登录的时候转向到统一的CAS登录入口,验证通过后,第三方系统获取到相应的“票据”,然后通过“票据”到CAS服务器端获取相应的用户名,然后通过用户名初始化第三方系统里面的相应会话,达到验证通过效果。 Web Service API模式,适用于可以修改代码的已有系统,不希望通过CAS模式,以更为简单的模式实现统一身份认证。 适配器模拟登录模式,适用于旧系统,不希望改变旧有的用户系统,同时旧系统的用户名不等同于新的用户系统的登录模式。通过建立新旧用户的对应关系,在登录进入新系统后,通过映射关系找到旧系统的用户名和密码,采用模拟提交登录信息的模式,实现单点登录。 统一数据中心 共享数据库和第三方数据库的同步,能够实现共享数据库和第三方系统业务数据库之间的双向数据同步,能够提供定时、条件触发、业务触发等多种触发机制,能够满足多种业务系统的数据同步数据。能够统一所有信息系统的数据,消除因业务系统的不一致导致的数据不一致后果,实现校园的数据统一。 业务数据的收集汇总,能够收集第三方系统的业务数据,按照国家信息化标准汇总到共享库中(国家信息化标准包括:JY/T 1001-2012、JY/T 1006-2012、JY/T 1004-2012、1005-2012) 共享数据的授权管理,能够授权哪些子业务系统、第三方系统访问哪部分共享数据,拥有哪些权限(禁止、只读、可读可写) 共享数据的访问接口,提供基于Restful、XML的WebService的API接口,供子业务系统和第三方业务系统读取 支持多种数据源,能够支持常见的关系型数据库,包括MS SQLServer、MySQL、Oracle等;同时也能够支持结构性文件,包括Excel、XML、CSV等。 高负荷的共享数据访问请求,能够支持7*24小时的共享数据访问服务,能够支持海量的子业务系统和第三方系统的共享数据访问需求,能够支持快速的数据同步和故障日志记录、重试和恢复同步操作的机制。 实验过程远程监控技术 通过浏览器插件方式,在被监控端(下图中学生)启动实验时发送当前机器的IP、端口保存到服务器端,监控端(下图中教师)在启动监控时获取到要监控对象的IP、端口等信息列表,双方浏览器插件通过点对点的对讯(即监控过程与服务器无联系)实现高效监控,并可以同时监控多个屏幕。通过浏览器组件在网页上实现在线监控,不需要安装客户端。保护用户隐私安全,因为只有在启动实验,且网页没有关闭的情况下,监控端(教师)才能监控到,被监控端(学生)关闭浏览器页面或点击了结束即可断开监控。 实验过程录播技术 实验过程中通过浏览器插件自动录屏,存放在本地,在实验完成后,自动上传到服务器,供以后回放,通过浏览器组件在网页上自动生成录像文件,不需要额外安装其它工具。 录像数据自动上传到服务器,不需要用户额外干涉工作,简化了整个录像及回放过程。 其他 系统所采用的技术路线应充分支持学校的应用需求和未来发展。在开发上应采用.Net标准、组件技术及在数据交换上对XML、JSON等格式的支持,使系统功能最优化,同时将整体系统内部在技术上的相互依赖性减至最低。系统软件遵循.Net的技术路线,采用C#编程语言。系统软件的具体功能应由一些松耦合和具有统一接口定义方式的组件等组合而建立起来,服务数据对象SDO确立服务间各种数据源调用接口API,同时定义数据服务的方法,如WebService,数据的格式如XML、JSON等。系统的数据标准必须遵循国家标准,包括JY/T 1001-2012、JY/T 1006-2012、JY/T 1004-2012、1005-2012等多个教育信息化的标准。系统软件应遵循该技术标准,进行组件化和服务化定制,实现松散型、低耦合的集成,从而能对业务变更做快速进行响应和处理。系统软件各模块间应相对独立,接口清晰,内部的业务流程升级和改造应与其它模块无关。所有模块间应采用分布式组件和Web Services实现业务逻辑,可插拔(即支持在不影响已有应用运行的情况下加载应用,或对已有应用进行更新和卸载);服务的定位采用JNDI/UDDI方式,支持分布式服务提供者。并能够为校方提供二次开发API。系统软件的开发及运行结构要基于后台数据库的三层架构,即Web服务器、应用服务器和数据库服务器。 考虑到学校师生规模、现有公共数据库、各业务管理系统数据库以及今后信息化发展,需要采用主流的关系型数据库(MySQL、SQLServer或者Oracle)。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4.2网络管理与安全 本中心力求打造一个安全的虚拟实验环境,确保平台的稳定运行。虚拟化教学平台采用Web服务技术构建。但由于Web服务的开放性,容易受到第三方窃取、篡改、伪装、恶意欺骗、越权访问、参数操控等安全攻击。而且SQL注入、跨站脚本攻击等页面攻击手段也层出不穷。针对这些问题,中心在虚拟实验环境下建立了虚拟仿真平台的安全机制, 解决虚拟实验过程中遇到的各种安全问题,为学生和教师提供一个安全、可扩展、稳定而友好的虚拟实验教学环境。 虚拟实验平台的总体安全框架包括安全拦截、身份认证、访问控制、认证服务器和应用服务器。安全拦截主要包含安全过滤、安全审计、数据解密。身份认证包含身份管理和密钥管理。访问控制包含访问控制列表和访问控制策略。系统根据用户登录状态,可以将访问请求分为身份认证请求、已登录用户请求和未登录用户请求。身份认证功能只处理身份认证请求,是系统访问控制的基础,安全访问控制只针对已通过认证的用户,保证这些用户授权后访问平台内的虚拟实验资源。其他访问请求由访问控制功能决定最终的访问许可。安全拦截功能负责拦截所有的用户访问请求,其中,安全过滤功能负责过滤那些非法访问请求,保证系统不受页面安全攻击。安全审计记录所有的访问请求,并详细记录每次访问的IP地址、请求连接、参数、HTTP方法、用户名等数据,为日后的安全日志审查做好记录。数据解密负责对加密数据进行解密,保证数据传输的安全性。认证服务器对用户认证的凭证进行管理,它存储用户的账号密码信息,指定用户登录算法,对用户的数字证书进行统一管理。应用服务器存储敏感信息或资源,为用户提供各种应用服务,也就是最终需要被授权访问的对象。系统的功能测试表明平台安全机制有效实现了虚拟实验资源的授权访问和安全传输,可以确保远程实验的会话安全性,防止不安全访问方法请求等高危行为。 平台严格按照国家信息安全标准,通过硬件防火墙技术,入侵检测技术,系统安全扫描,垃圾信息过滤,容灾备份等一系列的软硬件结合的解决方案来确保虚拟仿真实验室的信息安全。 1、用户权限管理 中心的“实验教学信息与管理平台”具有较为完备的用户身份管理、认证体系,提供用户认证和权限等级识别。该系统容许管理员添加多种用户角色,可为不同用户群体定义不同的角色,以方便内容定向的、多级别、交叉式的用户权限管理系统。角色和用户权限的分配细化到结点和操作,严格限制越权操作。 2、 网络管理和维护 中心的“实验教学信息与管理平台”采用前后台动态管理的模式。后台提交的录入资料可以暂时性保存,也可以提交后在前台网页即时查看效果,方便网站内容的录入和管理。后台网站资源的组织结构相对科学,内容的录入按层次来组织,方便加以定位并对网站内容进行日常管理和维护。 3、 查杀病毒和信息过滤 中心的“实验教学信息与管理平台” 具有网络防病毒、信息过滤和入侵检测功能。该系统安全性较高,对操作系统、数据库服务器、文件系统的访问支持严格的最低权限分配,预防通过黑客手段获取操作系统及数据库的高级用户权限。系统对注入式攻击采用统一的预防和过滤机制,确保攻击者无法通过该方法入侵应用系统。此外通过限制可执行文件的上传,防止服务器被植入木马程序和其它网络病毒。 在数据安全方面,中心的“实验教学信息与管理平台”采用网络传输加密、信息过滤和机密数据保护三道安全屏障,关键数据采用MD5加密,关键组件采用独有混淆加密技术。确保如数据库连接字符串、密码、许可验证、Web Service接口等的关键参数在传输前后均为加密格式。平台开发公司通过内部源代码审查制度,对阶段性变更或重要版本发布的代码进行审查,防止可能出现开发人员私下设置后门程序。以上种种举措,极大地提高了该平台实施网络加密和信息过滤的功效。 |
|