專利名稱:通過對url進(jìn)行模糊處理來保護(hù)網(wǎng)站和網(wǎng)站用戶的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總地涉及信息安全�����,更具體地涉及保護(hù)網(wǎng)站和網(wǎng)站用戶不受惡意軟件(malware)�、攻擊、信息竊取和其他在線威脅的侵害����。
背景技術(shù):
網(wǎng)站和網(wǎng)站用戶遭受到越來越多的一系列的在線威脅。一些設(shè)法盜取敏感信息或機(jī)密信息���,而其他則試圖擾亂站點(diǎn)的正常操作���。其中,許多類型的威脅是分布式拒絕服務(wù)(DDoS)攻擊����,DDoS攻擊對源數(shù)據(jù)庫或應(yīng)用服務(wù)器產(chǎn)生負(fù)載,并且可與現(xiàn)存的僵尸網(wǎng)絡(luò)(botnet)命令和控制系統(tǒng)協(xié)調(diào)地工作�����。其他威脅包括URL枚舉(enumeration)或可預(yù)測資源定位攻擊����,這些攻擊抓取站點(diǎn)來收獲嵌入在URL結(jié)構(gòu)中的敏感信息����,比如����,目錄型號(catalog part number)或航班號、應(yīng)用服務(wù)器會話標(biāo)識符����、用戶名或其他資源。在一些情況下��,如果站點(diǎn)允許在URL中指定用戶名或其他敏感信息并且對于有效輸入和無效輸入返回不同的響應(yīng)��,則攻擊者可猜測到有效值并收獲信息���。而且����,使一些網(wǎng)站遭受重大數(shù)據(jù)損失和經(jīng)濟(jì)損失(特別是在金融服務(wù)業(yè)中)的另一種安全威脅已在過去幾年里出現(xiàn)�。這種類型的惡意軟件通過特洛伊木馬來攻擊瀏覽器���。它們通常權(quán)衡利用(leverage)以 下這樣的軟件插件:該軟件插件密切注意(watch for)已知的URL����,然后采取動作,比如����,記錄鍵擊或者從受害者的銀行賬戶轉(zhuǎn)移資金。該較近期的品種的惡意軟件可在運(yùn)行中(on-the-fly)(也就是說�����,當(dāng)它被形成在端用戶的web瀏覽器中時(shí))修改交易�,并且仍顯示用戶的預(yù)期交易。在結(jié)構(gòu)上��,這些攻擊被稱為“中間人”(或“瀏覽器中間人”��,MITB)攻擊���,因?yàn)樗鼈兇婊钤谟脩襞c用戶的web瀏覽器的安全機(jī)制之間�����。如所指出的����,這樣的特洛伊通過感染端用戶的計(jì)算機(jī)并且安裝新的(惡意的)瀏覽器擴(kuò)展程序來操作。惡意的瀏覽器擴(kuò)展程序設(shè)立頁面處理程序�����,該頁面處理程序在網(wǎng)頁加載時(shí)激活�����,并查看加載的網(wǎng)頁的URL���。如果URL在惡意軟件瞄準(zhǔn)的網(wǎng)頁的列表上��,則瀏覽器擴(kuò)展程序“喚醒”�,截獲端用戶所敲入的數(shù)據(jù)����,并且可能修改從瀏覽器發(fā)送到web服務(wù)器的數(shù)據(jù)。與依賴于相似的��、但是欺詐性的網(wǎng)站的網(wǎng)絡(luò)釣魚(phishing)攻擊不同�,這些新的攻擊通常不能被用戶檢測到,因?yàn)樗鼈兪褂谜鎸?shí)的服務(wù)��,用戶像平常那樣被正確地登錄����,并且看不出任何差異。這樣的MITB攻擊典型地瞄準(zhǔn)金融機(jī)構(gòu)�����、尤其是公對公(B2B)銀行業(yè)務(wù)(banking)���,通常集中于轉(zhuǎn)賬交易����。宙斯惡意軟件的一種變型在轉(zhuǎn)賬的目的地銀行業(yè)務(wù)地址被從瀏覽器發(fā)送到銀行服務(wù)器時(shí)實(shí)際上改變轉(zhuǎn)賬的目的地銀行業(yè)務(wù)地址���,同時(shí)仍然在瀏覽器中向端用戶顯示所需的轉(zhuǎn)賬銀行地址��。這些攻擊的影響足夠重大����,以至于一些銀行已開始向它們的客戶部署客戶端軟件來嘗試應(yīng)對該問題�����。不幸的是,這些僅僅是面向如今的網(wǎng)站操作者和用戶的在線威脅的幾個(gè)例子����。而且,威脅形勢一直在演進(jìn)����,新品種的惡意軟件和破壞技術(shù)不時(shí)出現(xiàn)。在面對這種威脅形勢時(shí)�,各種系統(tǒng)可被用于將互聯(lián)網(wǎng)內(nèi)容分發(fā)給端用戶。一種方法是使用分布式計(jì)算機(jī)系統(tǒng)���,比如�����,由服務(wù)提供商操作和管理的“內(nèi)容分發(fā)網(wǎng)絡(luò)”或“CDN”��。服務(wù)提供商通常代表第三方客戶提供內(nèi)容分發(fā)服務(wù)����。這種類型的“分布式系統(tǒng)”通常指由一個(gè)網(wǎng)絡(luò)或多個(gè)網(wǎng)絡(luò)鏈接的一些自主計(jì)算機(jī)�,連同被設(shè)計(jì)為便利于各種服務(wù)(比如,網(wǎng)站內(nèi)容分發(fā)或外包(outsourced)站點(diǎn)基礎(chǔ)設(shè)施的支持)的軟件��、系統(tǒng)、協(xié)議和技術(shù)���。通常,這樣的內(nèi)容分發(fā)涉及代表內(nèi)容提供商對內(nèi)容��、流媒體和應(yīng)用程序的存儲�、高速緩存或傳輸,包括與其一起使用的輔助技術(shù)�,所述輔助技術(shù)包括,但不限于��,DNS查詢處理��、預(yù)配置����、數(shù)據(jù)監(jiān)視和報(bào)告、內(nèi)容定向�、個(gè)性化和商業(yè)智能。鑒于前述這些���,需要防御和保護(hù)網(wǎng)站�、網(wǎng)站操作者和網(wǎng)站用戶不受越來越復(fù)雜的����、一系列廣泛的在線威脅的侵害�。還需要設(shè)計(jì)應(yīng)對這些威脅的內(nèi)容分發(fā)系統(tǒng)(包括但不限于⑶N)����。本發(fā)明應(yīng)對這些需要和考慮到本公開將變得清晰的其他需要。
發(fā)明內(nèi)容
本文中被稱為URL模糊處理或者可替代地web應(yīng)用程序模糊處理(WAO)的方法可提供保護(hù)由內(nèi)容提供商所指示的特定的URL或URL組不受攻擊的侵害的能力��。盡管實(shí)現(xiàn)的細(xì)節(jié)在示例性情況下會有所變化��,但是該方法通過檢測受保護(hù)的URL何時(shí)例如作為網(wǎng)頁中的鏈接通過web代理來操作����。web代理(其可以是例如⑶N中的內(nèi)容服務(wù)器)用包含被模糊處理的值的另一個(gè)URL來取代該URL。隨后的從客戶端瀏覽器返回到代理的��、對于被模糊處理的URL的請求然后被轉(zhuǎn)變回原始URL格式�����,并且該代理前進(jìn)到內(nèi)部高速緩存或源服務(wù)器�,以請求受保護(hù)的URL處的內(nèi) 容。這樣�����,受保護(hù)的URL對于客戶端是不可見的。這意味著如果對于受保護(hù)的URL不可能將其作為目標(biāo)或者對其進(jìn)行自動操作����,則攻擊變得困難。此夕卜����,模糊處理功能性可被配置為使得每個(gè)客戶端會話看到不同的隨機(jī)的URL��,而不是受保護(hù)的URL,這進(jìn)一步挫敗了使攻擊自動進(jìn)行或者對站點(diǎn)進(jìn)行偵察的嘗試�����。簡而言之���,通過當(dāng)源URL被從源服務(wù)器傳遞到端用戶瀏覽器時(shí)對它進(jìn)行模糊處理��,可改變源服務(wù)器的攻擊面�,緩解了重放(r印lay)攻擊和其他攻擊���。周期性地改變攻擊面(例如�,針對給定的web請求返回給客戶端的URL)使得攻擊者更難以(除了其他動作之外)a)成功地偵察目標(biāo)站點(diǎn)、以及b)啟動持續(xù)的應(yīng)用層攻擊�,t匕如,DDoS (分布式拒絕服務(wù))攻擊�。(因此,名稱web應(yīng)用模糊處理)�。模糊處理方法可應(yīng)用于高度動態(tài)的或靜態(tài)的web內(nèi)容這二者。一旦被實(shí)現(xiàn)��,即使當(dāng)瀏覽器中呈現(xiàn)的內(nèi)容看起來相同時(shí)���,也可使返回給瀏覽器(或其他用戶代理)的頁面中的URL鏈接改變����。人類端用戶可能注意不到任何改變�����,但是惡意軟件將一直被呈現(xiàn)唯一 URL��,這顯著地增加了攻擊者成功地部署腳本化攻擊的困難���。按照本公開的教導(dǎo)修改的⑶N提供從其實(shí)現(xiàn)URL模糊處理的平臺�。⑶N內(nèi)容服務(wù)器位于瀏覽器與服務(wù)器之間的通信路徑的中間��。根據(jù)本文的教導(dǎo),CDN可被看作“中間的好人”�,并且該位置使得⑶N能夠有效地防御一系列攻擊。盡管CDN提供從其實(shí)現(xiàn)本發(fā)明的教導(dǎo)的優(yōu)良平臺�����,但是本文中的教導(dǎo)不限于CDN��。因而��,在本發(fā)明的其他方面��,不在CDN中的����、根據(jù)本文的教導(dǎo)修改的代理服務(wù)器可被放置在將內(nèi)容提供給請求客戶端的一個(gè)服務(wù)器或一組服務(wù)器的下游�,例如,有效地充當(dāng)網(wǎng)關(guān)���。內(nèi)容提供商可操作代理和源服務(wù)器這二者��。代理服務(wù)器如本文描述的那樣對URL進(jìn)行模糊處理��,保護(hù)網(wǎng)站和其用戶���。此外�����,在本發(fā)明的其他方面��,可根據(jù)本文的教導(dǎo)�、通過與底層web服務(wù)器功能性結(jié)合運(yùn)行URL模糊處理過程來修改源服務(wù)器本身�����。簡而言之��,任何內(nèi)容服務(wù)器可被用于實(shí)現(xiàn)本文描述的URL模糊處理技術(shù)��,而不管這樣的內(nèi)容服務(wù)器是CDN的一部分���,還是作為代理服務(wù)器操作�。鑒于前述這些����,用于對URL進(jìn)行模糊處理的各種方法、系統(tǒng)和裝置在整個(gè)這個(gè)公開中被描述���。僅以舉例說明的方式�,在本發(fā)明的一個(gè)非限制方面,一種在內(nèi)容服務(wù)器處操作的方法涉及從客戶端接收對內(nèi)容的請求����,其中,所述內(nèi)容包括給定的URL��。所述內(nèi)容可以是具有例如嵌入的URL的HTML頁面�。所述方法還包括用不同的第二 URL (也被稱為“替代URL”)來取代該第一 URL (也被稱為“原始URL”),以便防止客戶端確定原始URL��,所述第二URL包括客戶端不能解密的加密字符串�。常規(guī)的加密技術(shù)可用在這個(gè)過程中;通常����,加密與web服務(wù)器不提供給客戶端的加密密鑰相關(guān)聯(lián)���。加密字符串可表示例如原始URL的部分或全部的加密版本�����,但是這不是必須的�����。具有替代URL的內(nèi)容響應(yīng)于所述請求被發(fā)送到客戶端���。端用戶可發(fā)起對位于替代URL處的內(nèi)容的請求���。如果這樣,則內(nèi)容服務(wù)器接收對于與替代URL相關(guān)聯(lián)的內(nèi)容的第二請求�����,例如����,它可以是對替代URL所標(biāo)識的內(nèi)容的HTTPGet請求。內(nèi)容服務(wù)器對替代URL中的加密字符串進(jìn)行解密����,恢復(fù)原始URL。原始URL可被用于從內(nèi)部高速緩存或從源服務(wù)器檢索所述內(nèi)容���。替代URL通常通過修改原 始URL (例如通過用加密字符串取代原始URL的路徑名或其他部分)來創(chuàng)建���。加密字符串可通過對原始URL的該部分�、或者整個(gè)的原始URL���、或者它的另外其他部分等等進(jìn)行加密來產(chǎn)生���。在大多數(shù)情況下,替代URL將包括與原始URL相同的協(xié)議和主機(jī)名�,其中路徑名的一些或全部被加密字符串取代/模糊處理。在一些實(shí)現(xiàn)中�����,替代URL可以對于僅在有限時(shí)間段內(nèi)�����,比如����,在客戶端會話或可配置的數(shù)值時(shí)間段內(nèi)獲得內(nèi)容是有效的。所述有限時(shí)間段終止之后與替代URL相關(guān)聯(lián)的請求可表示可疑活動�,致使服務(wù)器發(fā)出警報(bào)���、將事件記入日志����、忽略請求、或者采取其他合適的動作���,而不是提供被請求的內(nèi)容�。如以上所建議的��,CDN中的內(nèi)容服務(wù)器有利地被用于實(shí)現(xiàn)前述方法�����。盡管用于對替代URL進(jìn)行解密的密鑰可能不能供客戶端使用��,但是在對替代URL的請求是針對除最初提供替代URL的內(nèi)容服務(wù)器之外的內(nèi)容服務(wù)器的情況下�����,CDN中的其他內(nèi)容服務(wù)器可被配備對替代URL進(jìn)行解密必需的密鑰��。在本發(fā)明的另一方面����,一種示例性方法涉及內(nèi)容服務(wù)器從客戶端接收對內(nèi)容(t匕如,網(wǎng)頁)的請求�����,其中,被請求的內(nèi)容包括標(biāo)識源服務(wù)器上的內(nèi)容的URL (第一 URL)���。內(nèi)容服務(wù)器從源服務(wù)器獲得所述內(nèi)容���,并用第二 (替代)URL來取代第一 URL。替代URL對于從源服務(wù)器獲得給定內(nèi)容是無效的��。換句話講����,源服務(wù)器可返回“找不到內(nèi)容”或其他錯(cuò)誤,或者可忽略針對替代URL的請求,或者可提供到著陸頁面(landing page)或驗(yàn)證頁面(比如�����,登錄頁面)的重定向����。如果客戶端使用替代URL來請求內(nèi)容,則內(nèi)容服務(wù)器可將它轉(zhuǎn)變回第-URL,以便(例如��,從內(nèi)部高速緩存或從源服務(wù)器)獲得被請求的內(nèi)容。如前面所提及的���,替代URL可被加密,并且可在有限時(shí)間內(nèi)有效����,等等。在本發(fā)明的另一方面�����,一種保護(hù)網(wǎng)站的方法涉及接收指示將被保護(hù)不受攻擊/惡意軟件的侵害的URL的信息�。這樣的配置信息可經(jīng)由客戶內(nèi)容提供商門戶(portal)提交,并在配置文件中被發(fā)送給web服務(wù)器���,所述配置文件可以是基于XML的或者利用另一種語法(syntax)���。給定的內(nèi)容服務(wù)器通過用不同的第二 URL來重寫受保護(hù)的URL (第一 URL)(從而創(chuàng)建替代URL)來保護(hù)受保護(hù)的URL,以便防止客戶端確定受保護(hù)的URL�,所述第二 URL包括客戶端不能解密的加密字符串。一旦客戶端請求包括受保護(hù)的URL的內(nèi)容(即�,在它需要被發(fā)送給客戶端時(shí)),就可進(jìn)行這個(gè)操作����,或者可事先進(jìn)行這個(gè)操作�。如所指出的���,內(nèi)容服務(wù)器可能需要從源服務(wù)器檢索被請求的內(nèi)容一在這種情況下��,URL修改可在該檢索時(shí)間進(jìn)行��。
此外�,內(nèi)容服務(wù)器可從客戶端接收與受保護(hù)的URL (也就是說�,而不是替代URL)相關(guān)聯(lián)的請求——這可指示可疑請求。如果這樣���,則內(nèi)容服務(wù)器可產(chǎn)生警報(bào)��、將警告記入日志�����、忽略請求�����、將請求標(biāo)記為可疑的����、或者采取另一可配置的動作。在本發(fā)明的又一方面�����,內(nèi)容服務(wù)器可周期性地改變它給出的URL和/或它將用被請求的內(nèi)容對其做出響應(yīng)的URL���。例如,內(nèi)容服務(wù)器一般通過發(fā)送給定的第一 URL所標(biāo)識的資源來對針對該URL發(fā)起的請求做出響應(yīng)�����。然而�,在某一事件發(fā)生之后,服務(wù)器將該第一URL視作對于獲得內(nèi)容是無效的——可能返回錯(cuò)誤(比如���,HTTP404錯(cuò)誤)�,忽略請求�����,提供到著陸頁面或驗(yàn)證頁面(比如���,登錄頁面)的重定向���。廣泛范圍的事件中的任一事件可能觸發(fā)該行為����,包括例如客戶端會話結(jié)束�����、內(nèi)容所有者配置的時(shí)間量終止���、客戶端身份改變��、檢測到針對第一 URL的或者基于客戶端請求的模式的安全威脅(例如,客戶端的動作所表示的或者以其他方式表示的安全威脅)���。對于權(quán)衡利用CDN的實(shí)現(xiàn),CDN的內(nèi)容提供商客戶可經(jīng)由客戶門戶逐個(gè)內(nèi)容提供商地���、逐個(gè)站點(diǎn)地��、或者甚至逐個(gè)URL地指定觸發(fā)事件�����。當(dāng)?shù)谝?URL被視作無效的時(shí)��,內(nèi)容服務(wù)器改為對針對不同的第二 URL發(fā)起的客戶端請求做出響應(yīng)���。該第二 URL是指與之前的那個(gè)URL相同的資源��,但是它不同于之前的那個(gè) URL�。觸發(fā)內(nèi)容服務(wù)器以將第一 URL視作無效的事件可以是可配置選項(xiàng)��。例如�,如以上所指出的��,內(nèi)容服務(wù)器可以是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的CDN中的內(nèi)容服務(wù)器���。在這樣的實(shí)現(xiàn)中�����,給定的內(nèi)容提供商可以能夠指定將觸發(fā)它的URL的過期的特定事件��。該配置信息可被合并到發(fā)送給內(nèi)容服務(wù)器的元數(shù)據(jù)配置文件中��,內(nèi)容服務(wù)器在對給定的客戶端請求做出響應(yīng)時(shí)應(yīng)用該元數(shù)據(jù)配置文件����。盡管前面的描述為了舉例說明的目的而集中于示例性的方法,但是本領(lǐng)域技術(shù)人員將理解��,各種計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)裝置可被特別改裝為專用機(jī)器���,并且可被用于實(shí)現(xiàn)本文所公開的教導(dǎo)�。
從以下結(jié)合附圖進(jìn)行的詳細(xì)描述����,本發(fā)明將被更充分地理解,其中:圖1是內(nèi)容分發(fā)網(wǎng)絡(luò)的一個(gè)實(shí)施例的示意圖2是用于圖1中所示的內(nèi)容分發(fā)網(wǎng)絡(luò)中的計(jì)算機(jī)器的一個(gè)實(shí)施例的示意圖�;圖3是示出用于保護(hù)網(wǎng)站和網(wǎng)站用戶的URL模糊處理方法的一個(gè)實(shí)施例中的信息流的不圖;圖4是示出用于對給定URL處的內(nèi)容的請求進(jìn)行處理的示例性步驟的流程圖���;圖5是示出用于對受保護(hù)的URL進(jìn)行加密的示例性步驟的流程圖�;和圖6是顯示可實(shí)現(xiàn)本文公開的方法和裝置的示例性計(jì)算機(jī)系統(tǒng)的框圖���。
具體實(shí)施例方式以下的描述對實(shí)施例進(jìn)行闡述�����,以提供本文公開的方法和裝置的結(jié)構(gòu)����、功能、制造和使用的原理的全面理解�。本文描述的并且在附圖中示出的方法和裝置是非限制性的例子;本發(fā)明的范圍僅由權(quán)利要求限定�����。與一個(gè)示例性實(shí)施例結(jié)合描述或示出的特征可與其他實(shí)施例的特征組合���。這樣的修改和變化意圖包括在本發(fā)明的范圍內(nèi)�����。本文引用的所有專利、出版物和參考文獻(xiàn)特意通過弓I用而全部并入本文����。在整個(gè)這個(gè)公開中,術(shù)語URL用于指代統(tǒng)一資源定位符��。如本領(lǐng)域技術(shù)人員將意識到的�,給定URL可包含幾個(gè)組成部分,包括協(xié)議(也被稱為方案)�����、主機(jī)名、路徑(其可包括文件名����,如果URL指向特定文件/資源,而不是目錄的話)��、查詢(例如����,具有查詢參數(shù)的查詢字符串)以及片段(fragment)。因而���,模型URL可被編寫為〈protocol〉://〈hostname>/〈path>〈query>〈fragment>����。該模型URL通常被稱為絕對URL�����。在一些情況下,web內(nèi)容可包括使用相對URL的鏈接�����, 相對URL相對于基本位置(基本位置是URL出現(xiàn)在其中的頁面)定位資源。因此�����,示例性的相對URL可省略協(xié)議和主機(jī)名�,并且可僅包括路徑、查詢和/或片段�。在本公開中,術(shù)語URL用于指代絕對URL和相對URL (即����,不完全合格的URL)這二者。因?yàn)閁RL可與各種協(xié)議中的任何一種一起使用��,所以由此可知�,這些教導(dǎo)不是僅適用于運(yùn)行HTTP的網(wǎng)站,而是還適用于其他網(wǎng)絡(luò)內(nèi)容分發(fā)方案(比如����,F(xiàn)TP)中的URL的使用�����。內(nèi)容分發(fā)網(wǎng)絡(luò)本文的教導(dǎo)可在⑶N中實(shí)現(xiàn)����。在已知系統(tǒng)(比如����,圖1中所示的系統(tǒng))中���,分布式計(jì)算機(jī)系統(tǒng)100被配置為⑶N�����,并且被假定為具有圍繞互聯(lián)網(wǎng)分布的一組機(jī)器102a-n���。通常,這些機(jī)器中的大多數(shù)是位于互聯(lián)網(wǎng)邊緣附近(即���,在端用戶接入網(wǎng)絡(luò)或者與端用戶接入網(wǎng)絡(luò)相鄰)的服務(wù)器���。網(wǎng)絡(luò)操作命令中心(NOCC) 104管理系統(tǒng)中的各種機(jī)器的操作。第三方站點(diǎn)(比如�����,網(wǎng)站106)將內(nèi)容(例如,HTML���、嵌入的頁面對象��、流媒體�����、軟件下載等等)的分發(fā)卸載到分布式計(jì)算機(jī)系統(tǒng)100����,具體地講�,卸載到內(nèi)容服務(wù)器(有時(shí)鑒于它們的位置在互聯(lián)網(wǎng)的“邊緣”而被稱為“邊緣”服務(wù)器)。通常��,內(nèi)容提供商通過將給定的內(nèi)容提供商域或子域別名(例如����,通過DNS CNAME)為由服務(wù)提供商的授權(quán)域名服務(wù)管理的域來卸載它們的內(nèi)容分發(fā)。期望所述內(nèi)容的端用戶被引向分布式計(jì)算機(jī)系統(tǒng)���,以更可靠地�、更有效地獲得該內(nèi)容�����。盡管沒有詳細(xì)顯示����,但是分布式計(jì)算機(jī)系統(tǒng)還可包括其他基礎(chǔ)設(shè)施,比如分布式數(shù)據(jù)收集系統(tǒng)108����,分布式數(shù)據(jù)收集系統(tǒng)108從邊緣服務(wù)器收集使用數(shù)據(jù)和其他數(shù)據(jù),聚集一個(gè)區(qū)域上的或一組區(qū)域上的該數(shù)據(jù)���,并將該數(shù)據(jù)傳遞給其他后端系統(tǒng)110�����、112�、114和116���,以便于監(jiān)視�、日志記錄���、警告�、記賬、管理以及其他操作和管理功能����。分布式網(wǎng)絡(luò)代理118監(jiān)視網(wǎng)絡(luò)以及服務(wù)器負(fù)載,并將網(wǎng)絡(luò)����、流量和負(fù)載數(shù)據(jù)提供給DNS查詢處理機(jī)制115,DNS查詢處理機(jī)制115對于由CDN管理的內(nèi)容域是得到授權(quán)的���。分布式數(shù)據(jù)傳輸機(jī)制120可被用于將控制信息(例如�����,用于管理內(nèi)容和便于負(fù)載均衡等等的元數(shù)據(jù))分布給邊緣服務(wù)器�。關(guān)于⑶N操作的更多細(xì)節(jié)可見于美國專利N0.7�����,293�,093和7,693����,959����,這些專利的公開通過引用被并入���。如圖2所示,給定的機(jī)器200包括商用硬件(例如��,Intel Pentium處理器)202�����,商用硬件202運(yùn)行支持一個(gè)或更多個(gè)應(yīng)用程序206a-n的操作系統(tǒng)內(nèi)核(比如����,Linux或變型)204。為了便于內(nèi)容分發(fā)服務(wù)����,例如,給定的機(jī)器通常運(yùn)行一組應(yīng)用程序����,比如,HTTP web代理207 (有時(shí)被稱為“全局主機(jī)(global host)”或“幽靈(ghost)”進(jìn)程)�、名稱服務(wù)器208�、本地監(jiān)視進(jìn)程210�、分布式數(shù)據(jù)收集進(jìn)程212等等。對于流媒體��,該機(jī)器通常包括所支持的媒體格式所需的一個(gè)或更多個(gè)媒體服務(wù)器�,比如,Windows媒體服務(wù)器(WMS)或Flash服務(wù)器���。CDN內(nèi)容服務(wù)器被配置為提供一個(gè)或更多個(gè)擴(kuò)展的內(nèi)容分發(fā)特征����,優(yōu)選地在域特定的����、客戶特定的基礎(chǔ)上提供,并且優(yōu)選地使用利用配置系統(tǒng)分布給內(nèi)容服務(wù)器的配置文件來提供�。給定的配置文件優(yōu)選地是基于XML的,并且包括便于一個(gè)或更多個(gè)高級內(nèi)容處理特征的一組內(nèi)容處理規(guī)則和指令����。該配置文件可經(jīng)由數(shù)據(jù)傳輸機(jī)制被分發(fā)給CDN內(nèi)容服務(wù)器。美國專利N0.7���,111��,057 (該專利的公開因此通過引用被并入本文)示出了用于分發(fā)和管理內(nèi)容服務(wù)器內(nèi)容控制信息的有用基礎(chǔ)設(shè)施�����,并且該內(nèi)容服務(wù)器控制信息和其他內(nèi)容服務(wù)器控制信息可由CDN服務(wù)提供商本身或操作源服務(wù)器的內(nèi)容提供商客戶(經(jīng)由外聯(lián)網(wǎng)等)進(jìn)行預(yù)配置�。⑶N可包括比如美國專利N0.7���,472���,178中描述的存儲子系統(tǒng),該專利的公開通過引用而并入本文��。CDN可操作服務(wù)器高速緩存層次結(jié)構(gòu)來提供客戶內(nèi)容的中間高速緩存�����;一種這樣的高速緩存層次結(jié)構(gòu)子系統(tǒng)在美國專利N0.7����,376��,716中有所描述��,該專利的公開通過引用而并入本文��。`⑶N可以按照在美國公布N0.2004/0093419中描述的方式提供客戶端瀏覽器����、邊緣服務(wù)器和客戶源服務(wù)器之間的安全內(nèi)容分發(fā),該公布的公開通過引用而并入本文�。如本文描述的安全內(nèi)容分發(fā)一方面增強(qiáng)了客戶端與內(nèi)容服務(wù)器進(jìn)程之間的基于SSL的鏈接,另一方面增強(qiáng)了內(nèi)容服務(wù)器進(jìn)程與源服務(wù)器進(jìn)程之間的基于SSL的鏈接���。這使得受SSL保護(hù)的網(wǎng)頁和/或其組件能夠經(jīng)由邊緣服務(wù)器被分發(fā)�。URL模糊處理概述圖3示出了用于對URL進(jìn)行模糊處理的系統(tǒng)的實(shí)施例���。為了便于描述���,圖3顯示了充當(dāng)源服務(wù)器的代理的內(nèi)容服務(wù)器,并且以下對該內(nèi)容服務(wù)器進(jìn)行描述�。這是特別有利的架構(gòu),但是如前所指出的��,代理方法不是限制性的����,因?yàn)閁RL模糊處理功能性可在獨(dú)立的源服務(wù)器內(nèi)實(shí)現(xiàn),導(dǎo)致單個(gè)非代理的內(nèi)容服務(wù)器架構(gòu)?����?偟膩碇v����,在圖3中所示的實(shí)施例中,內(nèi)容服務(wù)器302檢測受保護(hù)的URL何時(shí)通過����,并用模糊處理后的值重寫該URL���。隨后的從客戶端瀏覽器返回到內(nèi)容服務(wù)器302的�、對模糊處理后的URL的請求然后被轉(zhuǎn)變回原始URL格式�,并且內(nèi)容服務(wù)器302前去源以請求原始URL。這樣��,原始URL對于客戶端是不可見的�����。轉(zhuǎn)到圖3���,當(dāng)客戶端300向內(nèi)容服務(wù)器302發(fā)起請求時(shí)���,所示的處理在步驟310開始�����。假定內(nèi)容服務(wù)器302在CDN中���。在這樣的情況下,如以上所指出的以及美國專利N0.6����,108,703中所描述的����,客戶端通常將被⑶N的DNS系統(tǒng)給予特定的內(nèi)容服務(wù)器的IP地址,該專利的教導(dǎo)通過引用而并入本文���。假定該請求是針對⑶N客戶的網(wǎng)站的HTML主頁的���,該HTML主頁例如位于http: //WWW.customer, com/。如果內(nèi)容服務(wù)器302被配置為高速緩存服務(wù)器,則它可檢查它的高速緩存�,并且如果所述內(nèi)容被找到并且沒有過期(例如,TTL還沒有到期),則從高速緩存提供HTML頁面�����。否則�,內(nèi)容服務(wù)器302向客戶源服務(wù)器304發(fā)起對所述內(nèi)容的請求(用虛線顯示的步驟312,因?yàn)樗陌l(fā)生取決于代理服務(wù)器302是否能夠從高速緩存提供內(nèi)容)�。在步驟314中,源服務(wù)器304用HTML頁面對內(nèi)容服務(wù)器的請求做出響應(yīng)�����。此刻����,假定內(nèi)容服務(wù)器302檢測到該頁面包含已被內(nèi)容提供商指定為“受保護(hù)”的一個(gè)或更多個(gè)嵌入U(xiǎn)RL��。這樣的受保護(hù)的URL可被單個(gè)地指定����,或者可通過部分路徑名匹配(例如,WWW.customer, com/directory/*下的每一個(gè)URL,其中����,符號指定通配符操作符)來指定。內(nèi)容服務(wù)器302用包含模糊處理后的值的URL取代這些URL中的部分或全部,然后將修改的頁面提供給客戶端300 ο例如,原始頁面可包含純文本鏈接�,比如,http: //www.customer,com/directory/ login, html),表示客戶的主頁包含到賬戶登錄頁面的鏈接�。該URL是沒有在適當(dāng)?shù)奈恢眠M(jìn)行模糊處理的將顯現(xiàn)給客戶端的內(nèi)容。然而�����,在被內(nèi)容服務(wù)器302修改之后���,該客戶端的請求返回在步驟316所示的模糊處理后的URL鏈接�����,比如�,http://www.customer, com/Ad5698cB23Tgh9 這里,URL 中的整個(gè)路徑名(包括對象名稱(login, html))已被用加密字符串模糊處理�,而主機(jī)名保持用純文本。當(dāng)然�����,在其他情況下����,模糊處理可被配置為使得僅路徑名的某部分被模糊處理��。隨后�����,客戶端300請求模糊處理后的URL處的對象(步驟318)��。接收到該請求之后�����,如步驟320a�、320b�、322和324所指示的,內(nèi)容服務(wù)器302對加密進(jìn)行逆處理以恢復(fù)原始的��、純文本的URL��,并從高速緩存提供被請求的內(nèi)容或者從源服務(wù)器304檢索它����。優(yōu)選地����,如果對模糊處理后的URL的請求被向CDN中的其他服務(wù)器發(fā)起�����,則它們將也能夠?qū)用苓M(jìn)行逆處理�����,以下將對這進(jìn)行更詳細(xì)的解釋����。在一個(gè)實(shí)施例中�����,模糊處理后的URL可與客戶端300與內(nèi)容服務(wù)器302的特定用戶代理會話(例如����,給定的客戶端HTTP會話)關(guān)連。一旦該會話超時(shí)����,該模糊處理后的URL鏈接就可再次改變。內(nèi)容服務(wù)器302將到http://www.customer, com/directory/login,html 的鏈接的 URL 修改為 http://www.customer, com/fAz3698gh8741Tpm6,并且先前的模糊處理后的URL將變得對于請求是無效的���。這樣的技術(shù)使得攻擊者難以偵察站點(diǎn)����,因?yàn)槊總€(gè)請求需要與內(nèi)容服務(wù)器進(jìn)行定時(shí)的會話,并且對于同一 URL�,每個(gè)請求可返回不同的模糊處理。此外�����,內(nèi)容服務(wù)器302處的URL模糊處理還可與定時(shí)窗口關(guān)連��。為了示出會話如何超時(shí)并且定時(shí)窗口可被如何進(jìn)行���,考慮以下例子����。如以上在圖3中所示的�,內(nèi)容服務(wù)器對內(nèi)容類型文本/html的文件進(jìn)行解析,尋找源服務(wù)器的受保護(hù)URL 中的一個(gè)的實(shí)例�,比如說,http://www.customer, com/directory/login, html��。當(dāng)找到匹配時(shí)�,用通過使用每客戶秘密密鑰、全網(wǎng)絡(luò)秘密�����、端用戶現(xiàn)時(shí)(nonce)和時(shí)間分位數(shù)(timequantile)的可逆加密進(jìn)行模糊處理的URL來取代受保護(hù)的URL���。端用戶現(xiàn)時(shí)使得一組模糊處理后的URL根據(jù)需要對于任一給定端用戶或任一組端用戶是唯一的�,而時(shí)間分位數(shù)在一段時(shí)間之后刷新模糊處理后的URL����。端用戶現(xiàn)時(shí)可被攜帶在URL中或者被在cookie值(比如,userid或sessionid)中傳遞����,以使模糊處理后的URL隨著端用戶會話終止而過期。時(shí)間分位數(shù)可以是可配置的�����,并且可經(jīng)由元數(shù)據(jù)配置文件被傳送給內(nèi)容服務(wù)器�����。如從圖3可見���,源服務(wù)器操作者(例如���,CDN的內(nèi)容提供商/客戶)對于操作團(tuán)隊(duì)或開發(fā)團(tuán)隊(duì)在源服務(wù)器304考慮的額外復(fù)雜性可能看到很少或者甚至看不到��,因?yàn)槟:幚砜杀环庋b在內(nèi)容服務(wù)器302中�,并且不回到源服務(wù)器304上的web應(yīng)用程序本身���。還可以使得內(nèi)容服務(wù)器能夠檢測對未被模糊處理的受保護(hù)URL的客戶端請求���,并提供該請求的通知。該特征可以關(guān)于這樣的請求將被如何處理而是可配置的�。在可能的選項(xiàng)之中:可返回錯(cuò)誤;可為了警告目的或其他目的而將請求記入日志����;請求仍可由內(nèi)容服務(wù)器轉(zhuǎn)發(fā)給源服務(wù)器,但是帶有將該請求標(biāo)識為可疑請求的特定附加HTTP頭��;可丟棄請求或者將請求重定向到替代源服務(wù)器��;可分發(fā)到給定頁面(比如�,登錄頁面)的重定向;或者可提供特定的錯(cuò)誤頁面��。源服務(wù)器還可被配置為僅對來自指定服務(wù)器的請求做出響應(yīng),所述指定服務(wù)器一繼續(xù)前述例子一可以是將模糊處理服務(wù)提供給源服務(wù)器客戶的一組CDN服務(wù)器���。系統(tǒng)級設(shè)計(jì)在一個(gè)實(shí)施例中�����,對URL進(jìn)行模糊處理的機(jī)制被代理內(nèi)容服務(wù)器實(shí)現(xiàn)為加鹽值的(salted)時(shí)限加密。具體地講��,內(nèi)容服務(wù)器可包括模糊處理模塊����,該模糊處理模塊被配置為被服務(wù)器機(jī)器中的處理器執(zhí)行的軟件模塊。例如�,該模塊可與圖2的CDN內(nèi)容服務(wù)器中顯示的代理207集成或者以其他方式與該代理207相關(guān)聯(lián)。在一些實(shí)現(xiàn)中�����,該模塊是代理的一部分�,但是這對于實(shí)現(xiàn)模糊處理功能性不是必要的。在本實(shí)施例中�����,模糊處理系統(tǒng)在內(nèi)容服務(wù)器上根據(jù)以下高級方法操作: 站點(diǎn)被配置為通過將某些URL指定為“入口頁面”來進(jìn)行URL模糊處理。入口頁面可以是特定站點(diǎn)的主頁�����,例如����,由index, html指示的默認(rèn)頁面或者其他頁面。所有的入口頁面都優(yōu)選地是可高速緩存的并且可搜索的��。一個(gè)入口頁面可被定義為用于不可恢復(fù)的URL的默認(rèn)頁面(如果URL上的加密不能被逆處理�,則客戶端可被引向默認(rèn)頁面)。.標(biāo)識客戶不可以使用的根url前綴�����。該前綴定義例如如在〈protocol〉://〈hostname>/PREFIX/中的受保護(hù)的��、編碼的URL空間的邊界���??商鎿Q地,對于一些實(shí)現(xiàn)���,可單個(gè)地定義一組受保護(hù)的URL����。如果受保護(hù)的URL的數(shù)量相對少而且被良好定義并且站點(diǎn)結(jié)構(gòu)相對靜態(tài),則標(biāo)識特定URL可以是可行的����。.每一個(gè)站點(diǎn)可具有站點(diǎn)間唯一的并且僅內(nèi)容服務(wù)器知道的站點(diǎn)秘密。.還存在全⑶N網(wǎng)絡(luò)的秘密�。.有效用戶會話具有會話標(biāo)識符����,會話標(biāo)識符可能被存儲在cookie中。會話具有過期時(shí)間�;該過期時(shí)間定義URL的時(shí)間分位數(shù)。被配置為不接收cookies的用戶代理可被防止使用源服務(wù)器資源���,并且僅被分發(fā)靜態(tài)的(可高速緩存的)資源����?��?商鎿Q地�����,會話ID可被放置在用于無cookie客戶端的URL的純文本部分中��。轉(zhuǎn)到圖4��,當(dāng)從用戶接收到URL請求時(shí)�,內(nèi)容服務(wù)器可確定該請求是針對什么類型的頁面。如果它是針對未受保護(hù)的入口頁面的請求�����,則從高速緩存或從源服務(wù)器獲得該頁面����。根據(jù)內(nèi)容提供商特 定的(或站點(diǎn)特定的)元數(shù)據(jù)規(guī)則并且根據(jù)與圖5結(jié)合描述的處理來分發(fā)該頁面,圖5示出了對該頁面中的受保護(hù)的鏈接進(jìn)行加密�����。
如果請求是針對受保護(hù)的URL (在/PREFIX下)�����,則試圖對施加于該URL的編碼和加密進(jìn)行逆處理以恢復(fù)原始URL���。如果成功��,則獲取該URL引用的頁面�����,并根據(jù)與圖5結(jié)合描述的處理來分發(fā)該頁面�����,圖5示出了對嵌入的鏈接進(jìn)行加密的處理�。如果不成功,則內(nèi)容服務(wù)器可記錄錯(cuò)誤�,并分發(fā)HTTP404N0T Found頁面或到默認(rèn)頁面的302重定向。該服務(wù)器可分發(fā)定制的404頁面�,該頁面解釋錯(cuò)誤��,并建議可替換的做法(例如����,點(diǎn)擊入口頁面之一)。轉(zhuǎn)到圖5���,當(dāng)將被請求的頁面分發(fā)給客戶端時(shí)���,內(nèi)容服務(wù)器確定用戶會話ID����。內(nèi)容服務(wù)器還確定站點(diǎn)秘密�����。被請求頁面上的鏈接現(xiàn)在可被加密為從會話ID�����、站點(diǎn)秘密和全CDN網(wǎng)絡(luò)秘密產(chǎn)生的密鑰并且被編碼:〈protocol>://〈site>/PREFIX/〈encryptedstring〉����。修改后的頁面然后可被提供給客戶端。如果被請求的URL指代受保護(hù)的頁面����,則為了另外的保護(hù),可權(quán)衡利用身份證明來驗(yàn)證用戶具有訪問站點(diǎn)上的敏感頁面的權(quán)利�����。例如�����,查看銀行賬戶或者搜索產(chǎn)品數(shù)據(jù)庫可能需要用戶登錄。身份證明可從請求頭(比如����,cookie)中的信息提取,以建立將它分發(fā)給客戶端的許可����。這可在頁面被解析以尋找要加密的受保護(hù)的URL之前進(jìn)行。如果身份未被證明�,則內(nèi)容服務(wù)器返回到認(rèn)證URL的重定向。認(rèn)證系統(tǒng)優(yōu)選地具有這樣的資源:如果該認(rèn)證系統(tǒng)受到嚴(yán)重攻擊(例如���,受到DDOS攻擊)�,則這些資源防御以免于拒絕將服務(wù)給予有效用戶的必要�����。應(yīng)注意���,僅為了方便進(jìn)行舉例說明,前面假定受保護(hù)的URL指代頁面(例如�����,HTML頁面)。然而�,受保護(hù)的URL事實(shí)上可涉及其他類型的內(nèi)容和資源,比如����,圖像、其他多媒體�、交互內(nèi)容或web應(yīng)用程序。例如���,在圖4中����,受保護(hù)的URL可被解碼/解密以獲得指代圖像的URL�,該圖像然后被獲得并被提供給客戶端。在對對象進(jìn)行解析以修改嵌入的鏈接不合適或不可能的那些情況下�,將省略圖5中所示的處理。內(nèi)容服務(wù)器設(shè)計(jì)總的來講�,在本實(shí)施例中,當(dāng)內(nèi)容服務(wù)器接收到請求時(shí)�����,它查閱內(nèi)容提供商特定的元數(shù)據(jù)配置文件來確定哪些特征將應(yīng)用于該請 求。配置選項(xiàng)可被實(shí)現(xiàn)為使得代理服務(wù)器可通過URL匹配請求并應(yīng)用模糊處理特征和去模糊處理特征����,并且使得代理服務(wù)器可每一內(nèi)容提供商/客戶地確定變量的設(shè)置。配置選項(xiàng)可指定僅文件名和擴(kuò)展(可選地�����,查詢字符串)被模糊處理�,或者它們可指示代理服務(wù)器對整個(gè)路徑進(jìn)行模糊處理,等等�。加密算法(密碼)和密鑰可由配置選項(xiàng)標(biāo)識。如果對于給定的HTML內(nèi)容頁面啟用URL模糊處理�,則內(nèi)容服務(wù)器對該頁面進(jìn)行解析,識別將被模糊處理的嵌入資源�,使用可逆加密適當(dāng)?shù)匦薷拿總€(gè)所述嵌入資源,并發(fā)射所得的頁面��。將被模糊處理的資源由配置選項(xiàng)標(biāo)識�����,并且可包括HTML標(biāo)簽(比如����,“img src”���、“a href”等)�����。以下呈現(xiàn)示例性的模糊處理算法�,該示例性的模糊處理算法使用對稱密鑰加密和URL編碼來創(chuàng)建有效的URL字符串。去模糊處理算法對該處理進(jìn)行逆處理���。注意�,給定的實(shí)現(xiàn)可以不涉及以下每一個(gè)要素�。示例性的模糊處理算法:Eurl=URL_ENC0DE (hextime+nonce+special_char+CIPHER (HMAC (KeyCDN, KeyCust+hextime+nonce+hostname), target-url))
其中,從右到左�,這些值為:.target-url:將被模糊處理的目標(biāo)統(tǒng)一資源定位符.hostname:應(yīng)用該模糊處理后的URL的主機(jī)名(例如,內(nèi)容提供商主機(jī)名).nonce:限制URL復(fù)制和壽命的每用戶值或每會話值.hextime:被表達(dá)為十六進(jìn)制數(shù)字或其他編碼的當(dāng)前新紀(jì)元(epoch)時(shí)間(例如�,以時(shí)間為單位,比如分鐘或秒).KeyCust:通過客戶的配置確定的每站點(diǎn)唯一值(可替換地���,可以是每客戶唯一值).KeyCDN:全網(wǎng)絡(luò)密鑰.HMAC:可使用散列函數(shù)(比如�����,MD5或SHA-1)的密鑰散列消息認(rèn)證碼.CIPHER:加密密碼算法���,比如�,DES��、3DES或AES.URL_ENC0DE:百分比編碼函數(shù)(例如����,如IETF RFC3986所指定的,用十六進(jìn)制值或其他可接受的值代替預(yù)留字符).Eurl:模糊處理后的統(tǒng)一資源定位符以上呈現(xiàn)的示例性算法使用CDN網(wǎng)絡(luò)密鑰來創(chuàng)建內(nèi)容提供商密鑰��、當(dāng)前時(shí)間��、端用戶現(xiàn)時(shí)和主機(jī)名的HMAC����。HMAC輸出被用作target-url的對稱加密密鑰。所得的加密值(用例如base-64標(biāo)記法表示)被附加到純文本的hextime值和nonce值,特殊字符使現(xiàn)時(shí)與密碼輸出分開�。應(yīng)注意,盡管在本實(shí)施例中特殊字符被用于從密碼描繪(delineate)純文本���,但是可使用各種其他描繪技術(shù)/機(jī)制����。例如���,可使用字符的字符串�����,或者可將密碼定位在給定的查詢字符串參數(shù)或URL參數(shù)中����。密碼文本還可被定位在預(yù)定位置����,例如,作為特定路徑名組成部分或者緊接著主機(jī)名后面����。可使用幾乎任何的使得可區(qū)分密碼與編碼字符串的其他組成部分(純文本組成部分)的機(jī)制���。而且�,這樣的技術(shù)中的選自幾種技術(shù)之中的特定一種技術(shù)的使用本身可以是系統(tǒng)的可配置方面����。配置選項(xiàng)還可指定如何確定現(xiàn)時(shí)。優(yōu)選地����,它是由服務(wù)器在端用戶登錄到系統(tǒng)中時(shí)產(chǎn)生的唯一會話標(biāo)識符�。如以上所指出的�����,例如����,它被存儲在會話cookie或類似的值中,以使得URL壽命限于瀏覽器會話壽命����。在一些實(shí)現(xiàn)中,內(nèi)容服務(wù)器可用空字符串來取代最左邊的現(xiàn)時(shí)值(該現(xiàn)時(shí)值 在URL中被編碼��,但是在Eurt中為純文本)���,以避免它們的現(xiàn)時(shí)值暴露給端用戶�。注意���,在這樣的實(shí)現(xiàn)中���,現(xiàn)時(shí)值應(yīng)在隨后的請求中被一致地呈現(xiàn)給內(nèi)容服務(wù)器��,以使得內(nèi)容服務(wù)器可計(jì)算正確的作為加密密鑰的HMAC值�。分布CDN密鑰以安全保護(hù)網(wǎng)絡(luò)中的內(nèi)容服務(wù)器�����。該密鑰可以是給定的時(shí)間戳��、壽命��,并且可被周期性地旋轉(zhuǎn)����。通過使用被放置在URL中的hextime值����,給定的內(nèi)容服務(wù)器可告訴哪個(gè)CDN密鑰用于解密。KeyCust密鑰可在配置文件中用純文本指定��,或者經(jīng)由單獨(dú)的安全基礎(chǔ)設(shè)施來部署���。優(yōu)選地��,KeyCust密鑰是站點(diǎn)唯一值�����,但是可使該密鑰在給定客戶的多個(gè)站點(diǎn)上是公共的(即�,每客戶密鑰)。與CDN密鑰一樣�,KeyCust可以是給定的時(shí)間戳、壽命���,并且可被周期性地旋轉(zhuǎn)����。被放置在URL中的hextime值可被用于確定哪個(gè)KeyCust用于解密�。注意,target-url可以是絕對URL或相對URL��。在后一情況下����,在編碼/加密之前,通過將相對的URL與它的父類對象(例如���,HTML頁面)的資源位置信息組合來將它轉(zhuǎn)換為絕對URL����,或者僅使用相對URL字符串來對它進(jìn)行編碼/加密。前一種方法避免了以下需要���,即��,將客戶端請求解析為已被組合編碼的相對URL和分開編碼的基本(父類)URL的瀏覽器分解的URL的需要�����。示例性的去模糊處理算法。在該實(shí)現(xiàn)中��,CDN中的任何內(nèi)容服務(wù)器可進(jìn)行去模糊處理�,采取以下值作為輸入:.Eurl:來自客戶端的HTTP請求URL的模糊處理后的URL (Eurl).nonce:每配置的、來自端用戶會話或URL的現(xiàn)時(shí).hextime:從Eurl提取的產(chǎn)生時(shí)的新紀(jì)元時(shí)間.KeyCust:客戶的密鑰值.KeyCDN:全 CDN 網(wǎng)絡(luò)密鑰注意���,在前述方法中�,如果hextime已過去很久��,則去模糊處理嘗試將失敗�,因?yàn)榕c該hextime相關(guān)聯(lián)的Q)N密鑰將已過期。這和會話(nonce)翻轉(zhuǎn)(rollover)—起不僅使模糊處理后的URL重放攻擊限于給定用戶會話�����,而且還使模糊處理后的URL重放攻擊限于有限時(shí)間段,而不管會話如何��。hextime的時(shí)間戳的過期時(shí)間可以是配置選項(xiàng)�。過期時(shí)間影響網(wǎng)站上的端用戶體驗(yàn),因?yàn)楫?dāng)模糊處理后的URL太舊時(shí)它將使請求失敗��。繼續(xù)當(dāng)前例子��,去模糊處理使用URL_DEC0DE函數(shù)和TAIL操作符��,URL_DEC0DE函數(shù)是上述URL_ENC0DE的對稱相反處理��,TAIL操作符在解碼的字符串中的“special_char”特殊字符之后返回Eurl的子串���。 TAIL子串返回以上URL的加密部分�。將這些作為輸入���,target-url可被如下計(jì)算:target-url=URL_DECODE(CIPHER(HMAC(KeyCDN, KeyCust+hextime+nonce+hostname), TAIL(Eurl)))一旦被解碼�����,target-url和模糊處理后的URL都被保存在存儲器中以用在內(nèi)容服務(wù)器匹配規(guī)則中����,內(nèi)容服務(wù)器匹配規(guī)則可驅(qū)動其他⑶N功能性和行為。Eurl也可供使用匹配選擇符進(jìn)行匹配之用�����。注意�,不能不影響當(dāng)前URL地改變現(xiàn)時(shí)計(jì)算方法;改變該方法需要重建瀏覽器會話��。配置管理各種系統(tǒng)特征是可配置的��。配置選項(xiàng)可被給定的內(nèi)容提供商通過由CDN提供的配置門戶應(yīng)用程序發(fā)送給CDN��?����?蛻籼峁┑呐渲眠x項(xiàng)和其他的(內(nèi)部的)配置選項(xiàng)可使用分布給內(nèi)容服務(wù)器的元數(shù)據(jù)來設(shè)置�����。這些選項(xiàng)使用按照主機(jī)名���、路徑、文件名、擴(kuò)展和其他屬性在請求URL上匹配的能力��。在匹配上下文內(nèi)�����,可對文本/html對象啟用模糊處理���。這些參數(shù)也在配置元素中指定�。以下提供一些例子元素��。
權(quán)利要求
1.一種在內(nèi)容服務(wù)器處操作的計(jì)算機(jī)實(shí)現(xiàn)的方法���,包括: 從客戶端接收對內(nèi)容的請求����,所述內(nèi)容包括第一 URL �����; 用第二 URL取代所述第一 URL���,以便防止所述客戶端確定所述第一 URL�����,所述第二 URL不同于所述第一 URL����,并且,所述第二 URL包括所述客戶端不能解密的加密字符串����; 響應(yīng)于所述請求,將具有所述第二 URL的內(nèi)容發(fā)送給所述客戶端��。
2.根據(jù)權(quán)利要求1所述的方法����,還包括: 從所述客戶端接收對內(nèi)容的第二請求,所述第二請求與所述第二 URL相關(guān)聯(lián)����; 對所述第二 URL中的加密字符串進(jìn)行解密�����,以便獲得所述第一 URL ��; 使用所述第一 URL來獲得所述第二請求所尋求的內(nèi)容; 響應(yīng)于對內(nèi)容的所述第二請求�����,將獲得的內(nèi)容發(fā)送給所述客戶端����。
3.根據(jù)權(quán)利要求1所述的方法,其中���,所述內(nèi)容服務(wù)器是代表源服務(wù)器來提供內(nèi)容的代理服務(wù)器�����,并且所述方法還包括: 在用所述第二 URL取代所述第一 URL之前�,從所述源服務(wù)器接收包括所述第一 URL的所述內(nèi)容��。
4.根據(jù)權(quán)利要求1所述的方法����,其中,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一�。
5.根據(jù)權(quán)利要求1所述的 方法,其中���,所述第二URL對于僅在有限時(shí)間段內(nèi)從所述內(nèi)容服務(wù)器獲得內(nèi)容是有效的����。
6.根據(jù)權(quán)利要求5所述的方法,其中�,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一,并且所述有限時(shí)間段是可逐個(gè)內(nèi)容提供商地進(jìn)行配置的時(shí)間量���。
7.根據(jù)權(quán)利要求1所述的方法��,其中�,所述第二URL對于僅對于給定的客戶端會話從所述內(nèi)容服務(wù)器獲得內(nèi)容是有效的�����。
8.根據(jù)權(quán)利要求7所述的方法���,其中�����,在所述給定的客戶端會話結(jié)束之后針對所述第二 URL作出的請求或者來自不同客戶端會話的請求使所述內(nèi)容服務(wù)器采取選自動作組的動作,所述動作組是:忽略該請求����、提供錯(cuò)誤頁面���、提供到預(yù)定頁面的重定向、以及提供到登錄頁面的重定向��。
9.根據(jù)權(quán)利要求1所述的方法���,其中��,所述第一URL包括協(xié)議�����、主機(jī)名和路徑�����。
10.根據(jù)權(quán)利要求1所述的方法���,其中,所述內(nèi)容包括其中嵌入有所述第一URL的網(wǎng)頁��。
11.根據(jù)權(quán)利要求1所述的方法��,其中,通過將密碼函數(shù)應(yīng)用于所述第一URL的至少一部分來創(chuàng)建所述加密字符串����。
12.根據(jù)權(quán)利要求1所述的方法,其中�,通過用所述加密字符串取代所述第一URL的路徑的至少一部分來創(chuàng)建所述第二 URL。
13.根據(jù)權(quán)利要求1所述的方法����,其中,所述第二URL包括與所述第一 URL相同的主機(jī)名和所述加密字符串�����。
14.根據(jù)權(quán)利要求1所述的方法��,還包括: 從所述客戶端或另一客戶端接收第二內(nèi)容請求����,其中,所述第二內(nèi)容請求與所述第二URL相關(guān)聯(lián)�; 采取選自動作組的動作,所述動作組是:產(chǎn)生警報(bào)���、將警告記入日志���、將所述請求的通知發(fā)送給管理員、忽略該請求���、將錯(cuò)誤頁面提供給所述客戶端�����、將所述請求標(biāo)記為可疑的��、提供到預(yù)定頁面的重定向����、以及提供到登錄頁面的重定向�。
15.根據(jù)權(quán)利要求1所述的方法,還包括:接收指示所述第一URL要受到保護(hù)的信息�。
16.根據(jù)權(quán)利要求15所述的方法,其中�����,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一��,并且其中����,指示所述第一 URL應(yīng)受到保護(hù)的信息是關(guān)于其內(nèi)容位于所述第一 URL處的給定內(nèi)容提供商的配置文件的一部分����。
17.根據(jù)權(quán)利要求15所述的方法�����,其中�����,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一����,并且其中,指示所述第一 URL應(yīng)受到保護(hù)的信息可逐個(gè)內(nèi)容提供商地進(jìn)行配置�����。
18.根據(jù)權(quán)利要求15所述的方法�,其中,所述信息指示與路徑名匹配或部分匹配的所有URL都要受到保護(hù)��,并且所述第一 URL與該路徑名匹配或部分匹配。
19.一種裝置,包括: 內(nèi)容服務(wù)器���,所述內(nèi)容服務(wù)器具有一個(gè)或更多個(gè)處理器以及保存指令的存儲器����,所述指令在被所述一個(gè)或更多 個(gè)處理器執(zhí)行時(shí)使所述內(nèi)容服務(wù)器執(zhí)行以下步驟: 從客戶端設(shè)備接收對內(nèi)容的請求�����,其中�,所述內(nèi)容包括第一 URL ��; 用第二 URL取代所述第一 URL�����,以便防止所述客戶端設(shè)備確定所述第一 URL����,所述第二 URL不同于所述第一 URL,并且�����,所述第二 URL包括所述客戶端設(shè)備不能解密的加密字符串; 響應(yīng)于所述請求,將具有所述第二 URL的所述內(nèi)容發(fā)送給所述客戶端設(shè)備�����。
20.根據(jù)權(quán)利要求19所述的裝置�,其中,所述指令的執(zhí)行進(jìn)一步使所述內(nèi)容服務(wù)器執(zhí)行以下步驟: 從所述客戶端設(shè)備接收對內(nèi)容的第二請求��,所述第二請求與所述第二 URL相關(guān)聯(lián)��; 對所述第二 URL中的加密字符串進(jìn)行解密���,以便獲得所述第一 URL ��; 使用所述第一 URL來獲得所述第二請求所尋求的內(nèi)容����; 響應(yīng)于對內(nèi)容的所述第二請求����,將獲得的內(nèi)容發(fā)送給所述客戶端設(shè)備。
21.根據(jù)權(quán)利要求19所述的裝置�,其中,所述內(nèi)容服務(wù)器是代表源服務(wù)器提供內(nèi)容的代理服務(wù)器���,并且其中�,在用所述第二 URL取代所述第一 URL之前,內(nèi)容服務(wù)器從所述源服務(wù)器接收包括所述第一 URL的所述內(nèi)容�。
22.根據(jù)權(quán)利要求19所述的裝置,其中����,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一。
23.根據(jù)權(quán)利要求19所述的裝置����,其中�,所述內(nèi)容服務(wù)器將所述第二URL視為對于僅在有限時(shí)間段內(nèi)從至少一個(gè)內(nèi)容服務(wù)器獲得內(nèi)容是有效的。
24.根據(jù)權(quán)利要求23所述的裝置����,其中,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一�,并且所述有限時(shí)間段是可逐個(gè)內(nèi)容提供商地進(jìn)行配置的時(shí)間量。
25.根據(jù)權(quán)利要求24所述的裝置����,其中,所述內(nèi)容服務(wù)器將所述第二URL視為對于僅對于給定的客戶端會話從所述內(nèi)容服務(wù)器獲得內(nèi)容是有效的����。
26.根據(jù)權(quán)利要求25所述的裝置����,其中��,在所述給定的客戶端會話結(jié)束之后針對所述第二 URL作出的請求或者來自不同客戶端會話的請求使所述內(nèi)容服務(wù)器采取選自動作組的動作��,所述動作組是:忽略該請求����、提供錯(cuò)誤頁面、提供到預(yù)定頁面的重定向��、以及提供到登錄頁面的重定向��。
27.根據(jù)權(quán)利要求19所述的裝置����,其中,所述第一URL包括協(xié)議���、主機(jī)名和路徑�。
28.根據(jù)權(quán)利要求19所述的裝置��,其中,所述內(nèi)容包括其中嵌入有所述第一URL的網(wǎng)頁���。
29.根據(jù)權(quán)利要求19所述的裝置��,其中��,所述內(nèi)容服務(wù)器通過將密碼函數(shù)應(yīng)用于所述第一 URL的至少一部分來創(chuàng)建所述加密字符串��。
30.根據(jù)權(quán)利要求19所述的裝置�����,其中���,所述內(nèi)容服務(wù)器通過用所述加密字符串取代所述第一 URL的路徑的至少一部分來創(chuàng)建所述第二 URL�。
31.根據(jù)權(quán)利要求19所述的裝置,其中�,所述第二URL包括與第一URL相同的主機(jī)名和所述加密字符串。
32.根據(jù)權(quán)利要求19所述的裝置��,其中�,所述指令的執(zhí)行進(jìn)一步使所述內(nèi)容服務(wù)器執(zhí)行以下步驟: 從所述客戶端設(shè)備或另一客戶端設(shè)備接收第二內(nèi)容請求,其中���,所述第二內(nèi)容請求與所述第一 URL相關(guān)聯(lián)����; 采取選自動作組的動作,所述動作組是:產(chǎn)生警報(bào)�����、將警告記入日志�、將該請求的通知發(fā)送給管理員、忽略該請求���、將錯(cuò)誤頁面提供給所述客戶端設(shè)備���、將該請求標(biāo)記為可疑的、提供到預(yù)定頁面的重定向��、以及提供到登錄頁面的重定向����。
33.根據(jù)權(quán)利要求19所述的裝置,其中�,所述指令的執(zhí)行進(jìn)一步使所述內(nèi)容服務(wù)器接收指示所述第一 URL將受到保護(hù)的信息。
34.根據(jù)權(quán)利要求33所述的裝置����,其中��,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一����,并且其中�,指示所述第一 URL應(yīng)受到保護(hù)的信息是關(guān)于其內(nèi)容位于所述第一 URL處的給定內(nèi)容提供商的配置文件的一部分。
35.根據(jù)權(quán)利要求33所述的裝置�����,其中�,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一,并且其中��,指示所述第一 URL應(yīng)受到保護(hù)的信息可逐個(gè)內(nèi)容提供商地進(jìn)行配置��。
36.根據(jù)權(quán)利要求33所述的裝置����,其中�����,所述信息指示與路徑名匹配或部分匹配的所有URL都將受到保護(hù),并且所述第一 URL與所述路徑名匹配或部分匹配����。
37.一種在代表源服務(wù)器提供內(nèi)容的代理服務(wù)器處操作的計(jì)算機(jī)實(shí)現(xiàn)的方法,包括: 從客戶端接收對內(nèi)容的請求���,所述內(nèi)容包括標(biāo)識源服務(wù)器上的內(nèi)容的URL �; 從所述源服務(wù)器獲得所述內(nèi)容����; 用替代URL取代所述URL (以下稱為“原始URL”),所述替代URL對于從所述源服務(wù)器獲得內(nèi)容是無效的����,并且所述客戶端不能使用所述替代URL來確定所述原始URL ; 響應(yīng)于對內(nèi)容的所述請求����,將具有所述替代URL的內(nèi)容發(fā)送給所述客戶端。
38.根據(jù)權(quán)利要求37所述的方法�����,其中�����,所述替代URL包括加密字符串。
39.根據(jù)權(quán)利要求37所述的方法�,其中,所述替代URL包括通過將密碼函數(shù)應(yīng)用于所述原始URL的至少一部分而創(chuàng)建的加密字符串��。
40.根據(jù)權(quán)利要求37所述的方法����,還包括: 從所述客戶端接收對內(nèi)容的第二請求,對內(nèi)容的所述第二請求與所述替代URL相關(guān)聯(lián)��; 確定所述原始URL應(yīng)被用于獲得對內(nèi)容的所述第二請求中所請求的內(nèi)容�; 使用所述原始URL來從本地高速緩存或所述源服務(wù)器中的任何一個(gè)獲得對內(nèi)容的所述第二請求中所尋求的內(nèi)容; 響應(yīng)于對內(nèi)容的所述第二請求�����,將獲得的內(nèi)容發(fā)送給所述客戶端��。
41.根據(jù)權(quán)利要求37所述的方法����,其中����,所述代理服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一�����,并且所述源服務(wù)器與內(nèi)容提供商相關(guān)聯(lián)�。
42.根據(jù)權(quán)利要求37所述的方法��,其中���,所述替代URL對于僅在有限時(shí)間段內(nèi)從所述代理服務(wù)器獲得內(nèi)容是有效的����。
43.根據(jù)權(quán)利要求42所述的方法�,其中,所述代理服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一��,并且所述有限時(shí)間段是可逐個(gè)內(nèi)容提供商地進(jìn)行配置的時(shí)間量���。
44.根據(jù)權(quán)利要求37所述的方法���,其中,所述替代URL對于僅對于給定的客戶端會話從所述代理服務(wù)器獲得內(nèi)容是有效的。
45.根據(jù)權(quán)利要求44所述的方法�,其中,在所述給定的客戶端會話結(jié)束之后針對所述替代URL作出的請求或者來自不同客戶端會話的請求使所述內(nèi)容服務(wù)器采取選自動作組的動作�����,所述動作組是:忽略該請求�����、提供錯(cuò)誤頁面�����、提供到預(yù)定頁面的重定向�����、以及提供到登錄頁面的重定向�����。
46.根據(jù)權(quán)利要求37所述的方法�,其中,所述內(nèi)容包括其中嵌入有所述原始URL的網(wǎng)頁����。
47.一種裝置��,包括: 代理服務(wù)器���,所述代理服務(wù)器代表源服務(wù)器提供內(nèi)容�,所述代理服務(wù)器具有一個(gè)或更多個(gè)處理器以及保存指令的存儲器,所述指令在被執(zhí)行時(shí)使所述一個(gè)或更多個(gè)處理器執(zhí)行以下步驟: 從客戶端設(shè)備接收對內(nèi)容的請求�,所述內(nèi)容包括標(biāo)識源服務(wù)器上的內(nèi)容的URL ; 從所述源服務(wù)器獲得所述內(nèi)容��; 用替代URL取代所述URL (以下稱為“原始URL”)�����,所述替代URL對于從所述源服務(wù)器獲得內(nèi)容是無效的��,并且所述客戶端設(shè)備不能使用所述替代URL來確定所述原始URL �; 響應(yīng)于對內(nèi)容的所述請求,將具有所述替代URL的內(nèi)容發(fā)送給所述客戶端設(shè)備��。
48.根據(jù)權(quán)利要求47所述的裝置�,其中,所述替代URL包括加密字符串�����。
49.根據(jù)權(quán)利要求47所述的裝置,其中��,所述替代URL包括所述代理服務(wù)器通過將密碼函數(shù)應(yīng)用于所述原始URL的至少一部分而創(chuàng)建的加密字符串�����。
50.根據(jù)權(quán)利要求47所述的裝置��,其中���,所述指令的執(zhí)行進(jìn)一步使所述代理服務(wù)器執(zhí)行以下步驟: 從所述客戶端設(shè)備接收對內(nèi)容的第二請求��,對內(nèi)容的所述第二請求與所述替代URL相關(guān)聯(lián)����; 確定所述原始URL 應(yīng)被用于獲得在對內(nèi)容的所述第二請求中請求的內(nèi)容�����; 使用所述原始URL來從本地高速緩存或所述源服務(wù)器中的任何一個(gè)獲得在對內(nèi)容的所述第二請求中所尋求的內(nèi)容�����; 響應(yīng)于對內(nèi)容的所述第二請求,將獲得的內(nèi)容發(fā)送給所述客戶端設(shè)備����。
51.根據(jù)權(quán)利要求47所述的裝置,其中�,所述代理服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一,并且所述源服務(wù)器與內(nèi)容提供商相關(guān)聯(lián)�。
52.根據(jù)權(quán)利要求47所述的裝置���,其中��,所述代理服務(wù)器將所述替代URL視為對于僅在有限時(shí)間段內(nèi)從所述代理服務(wù)器獲得內(nèi)容是有效的�����。
53.根據(jù)權(quán)利要求52所述的裝置����,其中����,所述代理服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一,并且所述有限時(shí)間段是可逐個(gè)內(nèi)容提供商地進(jìn)行配置的時(shí)間量���。
54.根據(jù)權(quán)利要求47所述的裝置�,其中,所述替代URL對于僅對于給定的客戶端會話從所述代理服務(wù)器獲得內(nèi)容是有效的����。
55.根據(jù)權(quán)利要求54所述的裝置,其中��,在所述給定的客戶端會話結(jié)束之后針對所述替代URL作出的請求或者來自不同客戶端會話的請求使所述內(nèi)容服務(wù)器采取選自動作組的動作��,所述動作組是:忽略該請求���、提供錯(cuò)誤頁面��、提供到預(yù)定頁面的重定向���、以及提供到登錄頁面的重定向。
56.根據(jù)權(quán)利要求47所述的裝置�����,其中�����,所述內(nèi)容包括其中嵌入有所述原始URL的網(wǎng)頁。
57.一種在內(nèi)容服 務(wù)器處操作的計(jì)算機(jī)實(shí)現(xiàn)的方法��,包括: 通過所述內(nèi)容服務(wù)器�����,響應(yīng)于給定客戶端作出的對位于URL處的內(nèi)容的請求��,將給定內(nèi)容發(fā)送給所述給定客戶端���; 在事件發(fā)生之后將所述URL視為對于獲得內(nèi)容是無效的���,在所述事件發(fā)生之后����,所述內(nèi)容服務(wù)器不響應(yīng)于所述給定客戶端作出的與所述URL相關(guān)聯(lián)的請求將所述給定的內(nèi)容發(fā)送給所述給定客戶端,而是響應(yīng)于所述給定客戶端作出的與不同URL相關(guān)聯(lián)的請求將所述給定內(nèi)容發(fā)送給所述給定客戶端�����; 其中�,所述事件是以下中的任何一個(gè):預(yù)定時(shí)間段終止;客戶端會話結(jié)束��;以及檢測到針對所述URL的安全威脅。
58.根據(jù)權(quán)利要求57所述的方法��,其中�����,所述內(nèi)容服務(wù)器是代表源服務(wù)器提供web內(nèi)容的代理服務(wù)器���,并且所述內(nèi)容服務(wù)器從本地高速緩存或所述源服務(wù)器中的任何一個(gè)獲得所述給定內(nèi)容�。
59.根據(jù)權(quán)利要求57所述的方法��,其中���,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一����。
60.根據(jù)權(quán)利要求59所述的方法����,其中,觸發(fā)所述URL被視為無效的所述事件可逐個(gè)內(nèi)容提供商地進(jìn)行配置����。
61.根據(jù)權(quán)利要求57所述的方法��,還包括:在所述服務(wù)器處接收元數(shù)據(jù)配置文件�����,所述元數(shù)據(jù)配置文件包含用于所述內(nèi)容服務(wù)器的����、關(guān)于何時(shí)將所述URL視為無效的指令�����。
62.根據(jù)權(quán)利要求57所述的方法��,其中�,所述事件是客戶端會話終止。
63.根據(jù)權(quán)利要求57所述的方法����,其中���,所述內(nèi)容服務(wù)器產(chǎn)生所述不同URL�,并將所述不同URL在網(wǎng)頁中發(fā)送給所述客戶端���。
64.根據(jù)權(quán)利要求57所述的方法�����,其中�,所述不同URL的路徑不同于所述URL的路徑。
65.根據(jù)權(quán)利要求57所述的方法����,其中,所述URL和所述不同URL均包括加密字符串��。
66.一種裝置�����,包括: 內(nèi)容服務(wù)器��,所述內(nèi)容服務(wù)器具有一個(gè)或更多個(gè)處理器以及保存指令的存儲器���,所述指令在被所述一個(gè)或更多個(gè)處理器執(zhí)行時(shí)使所述內(nèi)容服務(wù)器執(zhí)行以下步驟: 響應(yīng)于給定客戶端設(shè)備作出的對位于URL處的內(nèi)容的請求���,將給定內(nèi)容發(fā)送給所述給定客戶端設(shè)備; 在事件發(fā)生之后將所述URL視為對于獲得內(nèi)容是無效的,在所述事件發(fā)生之后��,所述內(nèi)容服務(wù)器不響應(yīng)于所述給定客戶端設(shè)備作出的與所述URL相關(guān)聯(lián)的請求將所述給定內(nèi)容發(fā)送給所述給定客戶端設(shè)備��,而是響應(yīng)于所述給定客戶端設(shè)備作出的與不同URL相關(guān)聯(lián)的請求將所述給定內(nèi)容發(fā)送給所述給定客戶端設(shè)備����; 其中,所述事件是以下中的任何一個(gè):預(yù)定時(shí)間段終止����;客戶端會話結(jié)束;以及檢測到針對所述URL的安全威脅�����。
67.根據(jù)權(quán)利要求66所述的裝置�,其中,所述內(nèi)容服務(wù)器是代表源服務(wù)器提供web內(nèi)容的代理服務(wù)器����,并且所述內(nèi)容服務(wù)器從本地高速緩存或所述源服務(wù)器中的任何一個(gè)獲得所述給定內(nèi)容。
68.根據(jù)權(quán)利要求66所述的裝置�,其中�,所述內(nèi)容服務(wù)器是代表參與的內(nèi)容提供商分發(fā)內(nèi)容的內(nèi)容分發(fā)網(wǎng)絡(luò)中的多個(gè)內(nèi)容服務(wù)器之一。
69.根據(jù)權(quán)利要求68所述的裝置,其中�,觸發(fā)所述URL被視為無效的所述事件可逐個(gè)內(nèi)容提供商地進(jìn)行配置。
70.根據(jù)權(quán)利要求66所述的裝置����,其中,所述指令的執(zhí)行進(jìn)一步使所述內(nèi)容服務(wù)器執(zhí)行以下步驟:接收到所述服務(wù)器的元數(shù)據(jù)配置文件��,所述元數(shù)據(jù)配置文件包含用于所述內(nèi)容服務(wù)器的���、關(guān)于何時(shí)將所述URL視為無效的指令�����。
71.根據(jù)權(quán)利要求66所述的裝置����,其中��,所述事件是客戶端會話終止�����。
72.根據(jù)權(quán)利要求66所述的裝置�,其中����,所述內(nèi)容服務(wù)器產(chǎn)生所述不同URL�����,并將所述不同URL在網(wǎng)頁中發(fā)送給所述客戶端設(shè)備��。
73.根據(jù)權(quán)利要求66所述的裝置����,其中,所述不同URL的路徑不同于所述URL的路徑�。
74.根據(jù)權(quán)利要求66所述的裝置,其中�����,所述URL和所述不同URL均包括加密字符串�。
75.—種系統(tǒng),包括: 多個(gè)內(nèi)容服務(wù)器,每個(gè)內(nèi)容服務(wù)器具有一個(gè)或更多個(gè)處理器以及保存將被所述一個(gè)或更多個(gè)處理器執(zhí)行的指令的存儲器���,所述多個(gè)內(nèi)容服務(wù)器之一保存在被執(zhí)行時(shí)使所述內(nèi)容服務(wù)器執(zhí)行以下步驟的指令: 從客戶端設(shè)備接收對內(nèi)容的請求�����,其中����,所述內(nèi)容包括第一 URL ����; 用第二 URL取代所述第一 URL,以便防止所述客戶端設(shè)備確定所述第一 URL��,所述第二 URL不同于所述第一 URL����,并且,所述第二 URL包括所述客戶端設(shè)備不能解密的加密字符串; 響應(yīng)于所述請求���,將具有所述第二 URL的內(nèi)容發(fā)送給所述客戶端設(shè)備�����。
76.根據(jù)權(quán)利要求75所述的系統(tǒng)����,其中����,所述多個(gè)內(nèi)容服務(wù)器中的一個(gè)不同的內(nèi)容服務(wù)器保存在被所述一個(gè)或更多個(gè)處理器執(zhí)行時(shí)使所述不同的內(nèi)容服務(wù)器執(zhí)行以下步驟的指令: 從所述客戶端設(shè)備接收對內(nèi)容的第二請求����,所述第二請求與所述第二 URL相關(guān)聯(lián)��; 對所述第二 URL中的加密字符串進(jìn)行解密�����,以便獲得所述第一 URL �����; 使用所述第一 URL來獲得所述第二請求所尋求的內(nèi)容��; 響應(yīng)于對內(nèi) 容的所述第二請求����,將獲得的內(nèi)容發(fā)送給所述客戶端設(shè)備。
全文摘要
網(wǎng)站和網(wǎng)站用戶遭受到越來越多的一系列在線威脅和攻擊����。除了其他方面之外,本文公開了用于保護(hù)網(wǎng)站和網(wǎng)站用戶不受在線威脅的侵害的裝置���。例如����,內(nèi)容服務(wù)器(比如,代表源服務(wù)器分發(fā)內(nèi)容的代理內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)器)可在URL通過內(nèi)容服務(wù)器時(shí)將這些URL修改為模糊處理后的值�����,這些模糊處理后的值被給到端用戶客戶端瀏覽器�����。端用戶瀏覽器可使用模糊處理后的URL來從內(nèi)容服務(wù)器獲得內(nèi)容�,但是該URL可能僅在有限時(shí)間內(nèi)是有效的���,并且可能對于從源獲得內(nèi)容是無效的�����。因此���,信息對于客戶端是隱藏的,使對網(wǎng)站的攻擊更加困難�,并且挫敗了權(quán)衡利用被瀏覽的URL的了解的客戶端終端惡意軟件����。
文檔編號G06F21/60GK103229181SQ201180057475
公開日2013年7月31日 申請日期2011年10月13日 優(yōu)先權(quán)日2010年10月13日
發(fā)明者J·A·蒂勒, A·B·伊利斯, S·L·路丁, J·薩莫斯 申請人:阿卡麥科技公司