本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域�����,尤其涉及一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法及互聯(lián)網(wǎng)緩存�����。
背景技術(shù):
盜鏈是指服務(wù)提供商自己不提供服務(wù)的內(nèi)容���,通過技術(shù)手段繞過其它有利益的最終用戶界面(如廣告),直接在自己的網(wǎng)站上向最終用戶提供其它服務(wù)提供商的服務(wù)內(nèi)容�����,騙取最終用戶的瀏覽和點擊率��。這種現(xiàn)象常常是一些小網(wǎng)站用來盜取一些有實力的大網(wǎng)站的地址(比如音樂�����、圖片���、軟件����、視頻的下載地址),放置在自己的網(wǎng)站中�,通過這種方法盜取大網(wǎng)站的空間和流量。
一般網(wǎng)頁瀏覽有一個重要的現(xiàn)象就是一個完整的頁面并不是一次全部傳送到客戶端的�。如果用戶請求的是一個帶有許多圖片和其它信息的頁面,那么最先的一個http請求被傳送回來的是這個頁面的文本����,然后通過客戶端的瀏覽器對這個頁面的文本進行解釋執(zhí)行����,發(fā)現(xiàn)其中還有圖片,那么客戶端的瀏覽器會再發(fā)送一條圖片請求���,網(wǎng)站處理這個圖片請求將對應(yīng)的圖片文件傳送到客戶端���,然后客戶端的瀏覽器會將圖片安放到頁面的正確位置,就這樣一個完整的頁面要經(jīng)過發(fā)送多條http請求才能夠被完整的顯示����。
基于上述這樣的頁面?zhèn)魉蜋C制,就會產(chǎn)生盜鏈問題:如果一個網(wǎng)站中沒有頁面中所含的信息如圖片信息���,那么它完全可以將這個圖片鏈接到別的網(wǎng)站�,客戶端的瀏覽器會發(fā)送http圖片請求到本網(wǎng)站后,本網(wǎng)站根據(jù)盜取的圖片地址從別的網(wǎng)站獲取該圖片信息返回給客戶端�����。這樣沒有任何資源的網(wǎng)站就可以利用別的網(wǎng)站的資源來展示給客戶端的瀏覽者�����,提高了自己的訪問量��,而大部分瀏覽者又不會很容易地發(fā)現(xiàn)��,顯然�,這對于那個被利用了資源的網(wǎng)站是不公平 的。一些不良網(wǎng)站為了不增加成本而擴充自己站點內(nèi)容�����,經(jīng)常盜用其他網(wǎng)站的鏈接��。一方面損害了原網(wǎng)站的合法利益��,另一方面又加重了原網(wǎng)站的服務(wù)器負擔。
互聯(lián)網(wǎng)緩存是通過靜態(tài)存儲形式進行互聯(lián)網(wǎng)業(yè)務(wù)的加速�����,因此在一定程度上其與網(wǎng)站具備相似性�;但是互聯(lián)網(wǎng)緩存的主要作用是通過存儲帶寬,提升用戶訪問速度���,即將網(wǎng)站內(nèi)容本地化存儲后直接服務(wù)用戶��,在此過程中�����,互聯(lián)網(wǎng)緩存相當于是網(wǎng)站服務(wù)器內(nèi)容的復制品,只是給用戶提供用戶所請求的內(nèi)容���,沒有源網(wǎng)站的校驗及監(jiān)測機制��,因此存在嚴重的被盜鏈風險��。
如圖1所示��,當用戶終端向互聯(lián)網(wǎng)緩存發(fā)送統(tǒng)一資源定位符(url����,uniformresourcelocator)地址請求某個資源時,互聯(lián)網(wǎng)緩存會將存在本地的文件(即該請求url所對應(yīng)的文件)返回給用戶終端��,但由于該文件僅是緩存在本地的一個鏡像文件或復制品�,當盜鏈網(wǎng)站盜取所述某個資源的url后同樣發(fā)送該url請求資源時互聯(lián)網(wǎng)緩存也會正常予以服務(wù)。且由于互聯(lián)網(wǎng)緩存本身沒有校驗機制���,因此就算源網(wǎng)站已將該某個資源的url做過期處理���,互聯(lián)網(wǎng)緩存并不知曉,導致盜鏈網(wǎng)站可以長期使用該url做盜鏈行為��,增加了互聯(lián)網(wǎng)緩存的安全風險����。
技術(shù)實現(xiàn)要素:
有鑒于此,本發(fā)明實施例期望提供一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法及互聯(lián)網(wǎng)緩存�,可以解決互聯(lián)網(wǎng)緩存被盜鏈的問題,提升互聯(lián)網(wǎng)緩存的安全性能�。
為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法��,所述方法包括:
接收攜帶有統(tǒng)一資源定位符url地址的用戶請求��,所述url地址中包括用戶信息,所請求資源的url和校驗字段��;
根據(jù)所述校驗字段對所述用戶信息進行鑒權(quán)�����;
所述用戶信息鑒權(quán)合法時�,返回所述所請求資源的url對應(yīng)的資源內(nèi)容。
上述方案中�,在所述接收攜帶有統(tǒng)一資源定位符url地址的用戶請求之后, 所述方法還包括:
將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段��。
上述方案中��,在確定所述用戶信息鑒權(quán)合法之前����,所述方法還包括:
將攜帶有所述切割后的校驗字段以及包含所述用戶信息和所請求資源的url的字段的認證請求發(fā)送給源網(wǎng)站;
接收所述源網(wǎng)站返回的認證結(jié)果通知�,其中����,所述認證結(jié)果通知中攜帶有所述源網(wǎng)站應(yīng)用所述校驗字段對所述用戶信息進行鑒權(quán)的鑒權(quán)結(jié)果;
相應(yīng)的���,所述確定所述用戶信息鑒權(quán)合法���,包括:
在所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功時�����,確定所述用戶信息鑒權(quán)合法����。
上述方案中�,在確定所述用戶信息鑒權(quán)合法之前,所述方法還包括:
加載源網(wǎng)站提供的加密算法���、密鑰版本����、鑒權(quán)密鑰�����;
所述確定所述用戶信息鑒權(quán)合法����,包括:
將所述包含所述用戶信息和所請求資源的url的字段拼接所述密鑰版本對應(yīng)的鑒權(quán)密鑰生成待校驗url���;
用所述密鑰版本對應(yīng)的加密算法對所述待校驗url進行加密生成鑒權(quán)字段;
在所述鑒權(quán)字段與所述校驗字段一致時��,確定所述用戶信息鑒權(quán)合法���。
上述方案中����,所述所請求資源的url的字段中還包括有效期����;相應(yīng)的,所述返回所述所請求資源的url對應(yīng)的資源內(nèi)容�����,包括:
在所述有效期內(nèi)�����,返回所述所請求資源的url對應(yīng)的資源內(nèi)容�����。
上述方案中�����,在所述接收攜帶有統(tǒng)一資源定位符url地址的用戶請求之前�����,所述方法還包括:
在進行傳輸控制協(xié)議tcp三次握手時��,進行內(nèi)核態(tài)鑒權(quán)��,提取握手報文中的tcp/ip五元組���,對提取到的所述tcp/ip五元組進行鑒權(quán)認證�����;
若認證通過�����,則返回建立鏈接響應(yīng)�;若認證未通過�,返回斷開鏈接響應(yīng)�。
一種互聯(lián)網(wǎng)緩存����,所述互聯(lián)網(wǎng)緩存包括:
接收單元,用于接收攜帶有統(tǒng)一資源定位符url地址的用戶請求���,所述url地址中包括用戶信息�����,所請求資源的url���,校驗字段;
鑒權(quán)單元��,用于根據(jù)所述接收單元接收到的校驗字段對所述接收單元接收到的用戶信息進行鑒權(quán)��;
返回單元����,用于在所述鑒權(quán)單元對所述用戶信息鑒權(quán)合法時,返回所述接收單元接收到的所請求資源的url對應(yīng)的資源內(nèi)容�����。
上述方案中,所述互聯(lián)網(wǎng)緩存還包括切割單元�,其中����,
所述切割單元,用于將所述接收單元接收到的所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段�。
上述方案中,所述互聯(lián)網(wǎng)緩存還包括發(fā)送單元�����,其中����,
所述發(fā)送單元,用于將攜帶有所述切割單元切割后的校驗字段以及包含所述用戶信息和所請求資源的url的字段的認證請求發(fā)送給源網(wǎng)站�����;
所述接收單元�,還用于接收所述源網(wǎng)站返回的認證結(jié)果通知,其中����,所述認證結(jié)果通知中攜帶有所述源網(wǎng)站應(yīng)用所述校驗字段對所述用戶信息進行鑒權(quán)的鑒權(quán)結(jié)果�����;
相應(yīng)的�,所述鑒權(quán)單元�����,具體用于在所述接收單元接收到的所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功時�,確定所述用戶信息鑒權(quán)合法。
上述方案中�����,所述互聯(lián)網(wǎng)緩存還包括加載單元����,其中,
所述加載單元����,用于加載源網(wǎng)站提供的加密算法、密鑰版本和鑒權(quán)密鑰��;
所述鑒權(quán)單元,具體用于將所述切割單元切割后的包含所述用戶信息和所請求資源的url的字段拼接所述密鑰版本對應(yīng)的鑒權(quán)密鑰生成待校驗url�����;用所述密鑰版本對應(yīng)的加密算法對所述待校驗url進行加密生成鑒權(quán)字段����;在所述鑒權(quán)字段與所述校驗字段一致時�,確定所述用戶信息鑒權(quán)合法。
上述方案中�����,所述所請求資源的url的字段中還包括有效期�����;相應(yīng)的�,
所述返回單元,具體用于在所述有效期內(nèi)返回所述所請求資源的url對應(yīng)的資源內(nèi)容�����。
上述方案中�,所述互聯(lián)網(wǎng)緩存還包括認證單元,其中,
所述認證單元�����,用于在進行傳輸控制協(xié)議tcp三次握手時���,進行內(nèi)核態(tài)鑒權(quán)����,提取握手報文中的tcp/ip五元組�����,對提取到的所述tcp/ip五元組進行鑒權(quán)認證��;
所述返回單元�����,還用于在所述認證單元認證通過時�����,返回建立鏈接響應(yīng)����;在所述認證單元認證未通過時��,返回斷開鏈接響應(yīng)���。
本發(fā)明實施例提供了一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法及互聯(lián)網(wǎng)緩存,互聯(lián)網(wǎng)緩存在接收攜帶有統(tǒng)一資源定位符url地址的用戶請求后����,通過遠端(源網(wǎng)站)或本地(互聯(lián)網(wǎng)緩存)鑒權(quán)后,在確定所述用戶信息鑒權(quán)合法時��,才返回所述所請求資源的url對應(yīng)的資源內(nèi)容�����;這樣就實現(xiàn)了互聯(lián)網(wǎng)緩存的防盜鏈功能��,防止了互聯(lián)網(wǎng)緩存被惡意利用�,同時提升了互聯(lián)網(wǎng)緩存系統(tǒng)的健壯性�。
附圖說明
圖1為現(xiàn)有技術(shù)中的一種互聯(lián)網(wǎng)緩存被盜連流程示意圖;
圖2為本發(fā)明實施例1提供的一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法的流程示意圖��;
圖3為本發(fā)明實施例1提供的另一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法的流程示意圖���;
圖4為本發(fā)明實施例1提供的另一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法的流程示意圖��;
圖5為本發(fā)明實施例2提供的一種互聯(lián)網(wǎng)緩存的結(jié)構(gòu)框圖����;
圖6為本發(fā)明實施例2提供的另一種互聯(lián)網(wǎng)緩存的結(jié)構(gòu)框圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述��。
本發(fā)明實施例提供了一種基于互聯(lián)網(wǎng)緩存的防盜鏈方法�,如圖2所示,本 實施例方法的處理流程包括以下步驟:
步驟201���、接收攜帶有統(tǒng)一資源定位符url地址的用戶請求�。
用戶終端想要獲取某個資源如圖片時����,會向源網(wǎng)站發(fā)送該圖片的url地址獲取請求后,該url地址獲取請求攜帶有url的唯一標識和用戶信息(如終端ip等)�����,源網(wǎng)站接收到該url地址獲取請求之后���,根據(jù)url地址的唯一標識從數(shù)據(jù)庫查找到該圖片的原始url地址����,所述原始url地址中包括所述圖片資源唯一對應(yīng)的url。然后���,源網(wǎng)站會將所述用戶終端的用戶信息和原始url地址一起加密成字符串作為校驗字段����,源網(wǎng)站會將所述校驗字段攜帶在所述原始url地址中發(fā)送給用戶終端。
用戶終端獲得源網(wǎng)站返回的攜帶有校驗字段的原始url地址后,會在該原始url地址中加入用戶信息形成一個新的url地址,用戶終端會向互聯(lián)網(wǎng)緩存發(fā)送攜帶有該新的url地址的用戶請求,請求下載該圖片資源���,所述新的url地址中就包括用戶信息,所請求資源的url����,以及校驗字段。
步驟202�����、根據(jù)所述校驗字段對所述用戶信息進行鑒權(quán)�。
步驟203���、在所述用戶信息鑒權(quán)合法時,返回所述所請求資源的url對應(yīng)的資源內(nèi)容�。
互聯(lián)網(wǎng)緩存在接收到所述用戶請求后,只有在根據(jù)所述校驗字段對所述用戶信息進行鑒權(quán)�����,鑒權(quán)所述用戶信息鑒權(quán)合法時�,才會向用戶終端返回所請求資源的url對應(yīng)的資源內(nèi)容。當然��,如果所述用戶信息被鑒權(quán)認定為不合法���,則所述互聯(lián)網(wǎng)緩存就不能向該用戶終端返回所請求資源的url對應(yīng)的資源內(nèi)容�。
示例的�,如果盜鏈網(wǎng)站盜取了源網(wǎng)站給用戶終端返回的原始url地址,現(xiàn)有技術(shù)中�,所述盜鏈網(wǎng)站將所述原始url地址發(fā)送給互聯(lián)網(wǎng)緩存后,互聯(lián)網(wǎng)緩存就會將所述原始url地址對應(yīng)的資源內(nèi)容返回給盜鏈網(wǎng)站�����;但是應(yīng)用本實施例方法��,所述盜鏈網(wǎng)站需要將盜鏈網(wǎng)站的用戶信息加入該攜帶有該校驗字段的原始url地址中形成新的url地址發(fā)送給互聯(lián)網(wǎng)緩存進行用戶請求,這樣由于用戶請求中的校驗字段是由用戶終端的用戶信息生成的��,與盜鏈網(wǎng)站的用戶 信息無關(guān)�,故應(yīng)用該鑒權(quán)信息就可鑒定出該盜鏈網(wǎng)站的用戶信息并不是該鑒權(quán)信息對應(yīng)的用戶終端的用戶信息,即用戶請求中的盜鏈網(wǎng)站的用戶信息無法通過鑒權(quán)�,被認證為不合法。在確定所述用戶信息被鑒權(quán)認定為不合法時�����,所述互聯(lián)網(wǎng)緩存就不會向該用戶終端返回所請求資源的url對應(yīng)的資源內(nèi)容�����,有效防止盜鏈網(wǎng)站的盜鏈行為��,解決互聯(lián)網(wǎng)緩存被盜鏈的問題�,提升互聯(lián)網(wǎng)緩存的安全性能。
在本實施例方法中�����,確定所述用戶信息鑒權(quán)合法的方法有兩種����。根據(jù)互聯(lián)網(wǎng)緩存是否與源網(wǎng)站合作,可以將這兩種方法分為業(yè)務(wù)鑒權(quán)分離防盜鏈模式和業(yè)務(wù)鑒權(quán)融合防盜鏈模式����。這兩種模式主要區(qū)分在于鑒權(quán)位置不同,業(yè)務(wù)鑒權(quán)分離防盜鏈模式是源網(wǎng)站遠端鑒權(quán)互聯(lián)網(wǎng)緩存本地服務(wù)�����,而業(yè)務(wù)鑒權(quán)融合防盜鏈模式中互聯(lián)網(wǎng)緩存需要與源網(wǎng)站合作��,具體的鑒權(quán)服務(wù)都在互聯(lián)網(wǎng)緩存本地完成�����,兩者都可判斷出用戶信息是否合法����。
方法一、業(yè)務(wù)鑒權(quán)分離防盜鏈模式��。
如圖3所示�,方法一的處理流程可以包括以下步驟:
步驟301、用戶終端向源網(wǎng)站發(fā)送url地址獲取請求�。
用戶終端想要獲取某個資源如圖片時,會向源網(wǎng)站發(fā)送該圖片的url地址獲取請求,該url地址獲取請求攜帶有url的唯一標識和用戶終端的用戶信息(如終端ip等)�。
步驟302、源網(wǎng)站對所述用戶終端進行一次認證�,并根據(jù)所述用戶終端的用戶信息和根據(jù)所述url地址獲取請求查找獲得的原始url地址加密生成校驗字段。
源網(wǎng)站接收到該url地址獲取請求之后����,根據(jù)url地址的唯一標識從數(shù)據(jù)庫查找到該圖片的原始url地址,所述原始url地址中包括所述圖片資源唯一對應(yīng)的url����。然后,源網(wǎng)站會應(yīng)用預(yù)設(shè)的加密算法將所述用戶終端的用戶信息和原始url地址一起加密成字符串作為校驗字段�����。
步驟303�、源網(wǎng)站會將所述校驗字段攜帶在所述原始url地址中發(fā)送給用戶終端。
步驟304�����、互聯(lián)網(wǎng)緩存在與所述用戶終端進行tcp三次握手時����,進行內(nèi)核態(tài)鑒權(quán)�����,提取握手報文中的tcp/ip五元組;對提取到的所述tcp/ip五元組進行認證����。
用戶終端獲得攜帶有校驗字段的原始url地址后,就會應(yīng)用該原始url地址向互聯(lián)網(wǎng)緩存發(fā)送用戶請求以獲取相應(yīng)的圖片資源����,用戶終端需要與所述互聯(lián)網(wǎng)緩存完成三次握手后,才能向所述互聯(lián)網(wǎng)緩存發(fā)送用戶請求的具體內(nèi)容��,互聯(lián)網(wǎng)緩存在與所述用戶終端進行傳輸控制協(xié)議(tcp���,transmissioncontrolprotocol)三次握手時����,會對該用戶請求進行內(nèi)核態(tài)鑒權(quán)���,提取用戶終端向互聯(lián)網(wǎng)緩存發(fā)送的握手報文中的tcp/ip五元組(五元組中包括:源ip地址���、目的ip地址、協(xié)議號、源端口和目的端口)��;然后將提取到的所述tcp/ip五元組與系統(tǒng)的合法請求的五元組進行匹配�����,如果其與合法請求的五元組中的某個五元組相同��,則認證通過�,如果其與合法請求的五元組中的任一個五元組都不相同,則認證未通過���。
步驟305��、若認證通過��,則返回建立鏈接響應(yīng)����;若認證未通過����,返回斷開鏈接響應(yīng)。
如果認證未通過則說明這個請求是非法請求���,否則為合法請求�;若為非法請求,則互聯(lián)網(wǎng)緩存修改非法請求返回的ack報文內(nèi)容��,將tcp.flags由0x0010(ack)���,修改為0x0011(fin,ack)����,返回給上層協(xié)議棧,最終讓業(yè)務(wù)流程判斷請求結(jié)束斷開鏈接���,即返回斷開鏈接響應(yīng)����;互聯(lián)網(wǎng)緩存對合法請求返回的ack不做任何修改�����,直接發(fā)送給上層協(xié)議棧����,建立鏈接���,即返回建立鏈接響應(yīng)。
步驟306����、互聯(lián)網(wǎng)緩存接收所述用戶終端發(fā)送的攜帶有url地址的用戶請求。
用戶終端與所述互聯(lián)網(wǎng)緩存完成三次握手建立鏈接后����,用戶終端就會向所述互聯(lián)網(wǎng)緩存發(fā)送用戶請求,以請求獲得相應(yīng)的圖片資源�,所述用戶請求中攜帶有url地址,所述url地址中包括用戶信息�����,所請求資源的url���,校驗字段�����。
步驟307��、互聯(lián)網(wǎng)緩存將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段���。
互聯(lián)網(wǎng)緩存接收到該用戶請求后�,可以先將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段����。
示例的,所述url地址可以為:
http://ds3.d.iask.com/pc.downtech/20110402/6d0f3e35/haozip_v2.2.exe���?fn=&ssig=imw3ve7ggr&expires=1302167757&kid=sae,230kw3wk15
所請求資源的url+用戶信息和校驗字段之間設(shè)置有分隔符“?”���,“�?”之前的字符串:http://ds3.d.iask.com/pc.downtech/20110402/6d0f3e35/haozip_v2.2.exe為所請求資源的url+用戶信息�����;“����?”之后的字符串:fn=&ssig=imw3ve7ggr&expires=1302167757&kid=sae,230kw3wk15為校驗字段。這樣所述互聯(lián)網(wǎng)緩存就可以根據(jù)分隔符切割出所述校驗字段以及包含所述用戶信息和所請求資源的url的字段��。
步驟308���、互聯(lián)網(wǎng)緩存將攜帶有所述切割后的校驗字段以及包含所述用戶信息和所請求資源的url的字段的認證請求發(fā)送給源網(wǎng)站�。
當然,所述互聯(lián)網(wǎng)緩存也可以直接將所述url地址發(fā)送給源網(wǎng)站�����,由源網(wǎng)站一側(cè)根據(jù)分割符將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段后進行鑒權(quán)����。
步驟309、源網(wǎng)站在應(yīng)用所述校驗字段對所述用戶信息進行鑒權(quán)��。
所述源網(wǎng)站接收到認證請求后�����,從所述認證請求中獲得所述校驗字段��,然后應(yīng)用預(yù)設(shè)的與步驟302中的加密算法相應(yīng)的解密算法解密出所述校驗字段中的用戶信息��,判斷所述校驗字段中的用戶信息與所述認證請求中的用戶信息是否一致����,若一致,則鑒權(quán)成功���,若不一致����,則鑒權(quán)失敗。
步驟310����、源網(wǎng)站向所述互聯(lián)網(wǎng)緩存返回認證結(jié)果通知。
所述認證結(jié)果通知中攜帶有所述源網(wǎng)站應(yīng)用所述校驗字段對所述用戶信息進行鑒權(quán)的鑒權(quán)結(jié)果�。若鑒權(quán)成功,則所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功�����,若鑒權(quán)失敗�,則所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)失敗�����。
步驟311�、在所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功時,確定所述用戶信息鑒權(quán)合法���,在確定所述用戶信息鑒權(quán)合法時�,返回所述所請求資源的url對應(yīng)的資源內(nèi)容。
在所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功時�����,確定所述用戶信息鑒權(quán)合法���。在所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)失敗時��,確定所述用戶信息鑒權(quán)不合法����。
互聯(lián)網(wǎng)緩存在獲得所述url地址后��,在步驟307會根據(jù)分隔符對所述url地址進行分割獲得所請求資源的url和用戶信息字段���,這樣在確定所述用戶信息鑒權(quán)合法時��,所述互聯(lián)網(wǎng)緩存就可以直接根據(jù)該字段中的所請求資源的url查找獲得所請求資源的url對應(yīng)的資源內(nèi)容�,并通過http200(成功訪問)為該用戶信息對應(yīng)的用戶終端提供資源下載服務(wù)��,向所述用戶終端返回對應(yīng)的資源內(nèi)容����。
如果鑒權(quán)失敗即確定所述用戶信息不合法�,則為用戶終端響應(yīng)http403(禁止訪問)����,不向所述用戶終端返回所述所請求資源的url對應(yīng)的資源內(nèi)容。
方法一通過互聯(lián)網(wǎng)緩存與源網(wǎng)站進行交互�����,利用源網(wǎng)站的鑒權(quán)機制��,對用戶請求進行鑒權(quán)���,并將鑒權(quán)結(jié)果通知給互聯(lián)網(wǎng)緩存�����,鑒權(quán)對緩存完全透明,源網(wǎng)站可以根據(jù)自己的需求增加各種鑒權(quán)功能�����,而互聯(lián)網(wǎng)緩存無需定制化開發(fā)鑒權(quán)功能�����,可以利用源網(wǎng)站的鑒權(quán)機制,對用戶請求進行鑒權(quán)���,并根據(jù)鑒權(quán)結(jié)果向用戶終端提供相應(yīng)的下載服務(wù)��。這種模式下�,將鑒權(quán)與服務(wù)分離����,鑒權(quán)工作仍在源網(wǎng)站完成,資源下載服務(wù)則在互聯(lián)網(wǎng)緩存完成����,實現(xiàn)異源服務(wù),提升服務(wù)效率�����。
方法二�����、業(yè)務(wù)鑒權(quán)融合防盜鏈模式
方法二的前幾個步驟可參考方法一中的步驟301-305�����,在此不再詳述;如圖4所示��,方法二的處理流程還可以包括以下步驟:
步驟401�、互聯(lián)網(wǎng)緩存加載源網(wǎng)站提供的加密算法、密鑰版本���、鑒權(quán)密鑰����。
本方法要求互聯(lián)網(wǎng)緩存與所述源網(wǎng)站進行合作����,在互聯(lián)網(wǎng)緩存上加載基于源網(wǎng)站提供的加密算法、鑒權(quán)密鑰����、密鑰版本等的防盜鏈方法,對用戶終端發(fā) 送的url地址進行鑒權(quán)���,鑒權(quán)通過即提供給服務(wù),否則斷連拒絕服務(wù)��。
所述互聯(lián)網(wǎng)緩存上加載有源網(wǎng)站提供的相應(yīng)的加密算法、密鑰版本����、鑒權(quán)密鑰。
步驟402��、互聯(lián)網(wǎng)緩存接收攜帶有統(tǒng)一資源定位符url地址的用戶請求���。
用戶終端與所述互聯(lián)網(wǎng)緩存完成三次握手建立鏈接后����,用戶終端就會向所述互聯(lián)網(wǎng)緩存發(fā)送用戶請求���,以請求獲得相應(yīng)的圖片資源�����,所述用戶請求中攜帶有url地址����,所述url地址中包括用戶信息����,所請求資源的url�����,校驗字段�����。
步驟403�、互聯(lián)網(wǎng)緩存將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段�����。
示例的����,假設(shè)所述互聯(lián)網(wǎng)緩存接收到的url地址為:
http://10.156.183.19:80/filepath/avsync.3gp.m3u8?msisdn=13817433773&mdspid=&spid=699013&nettype=4&sid=2049016655&pid=2028593134_2028593207_2028593174&channel_id=0109_03000010-99000-100100010010001&programid=502358623&parentnodeid=10242953×tamp=20130608151500&encrypt=fb75dd66d49c54635acd020600767444����。
互聯(lián)網(wǎng)緩存可以從該url地址中識別出encrypt字段,該encrypt字段為校驗字段��,則包含所述用戶信息和所請求資源的url的字段為:
http://10.156.183.19:80/filepath/avsync.3gp.m3u8��?msisdn=13817433773&mdspid=&spid=699013&nettype=4&sid=2049016655&pid=2028593134_2028593207_2028593174&channel_id=0109_03000010-99000-100100010010001&programid=502358623&parentnodeid=10242953×tamp=20130608151500�����。
校驗字段ψ1=fb75dd66d49c54635acd020600767444�����。
這樣���,所述互聯(lián)網(wǎng)緩存就可以將所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段
步驟404����、根據(jù)所述校驗字段對所述用戶信息進行鑒權(quán)��。
互聯(lián)網(wǎng)緩存將所述包含所述用戶信息和所請求文件標識的url的字段拼 接所述鑒權(quán)密鑰生成待校驗url�����;用所述密鑰版本對應(yīng)的加密算法對所述待校驗url進行加密生成鑒權(quán)字段���;在所述鑒權(quán)字段與所述校驗字段一致時�����,確定所述用戶信息鑒權(quán)合法�。
如上述示例的url地址,在包含所述用戶信息和所請求資源的url的字段后即時間戳(timestamp)后面�,拼接所述密鑰版本如md5密鑰對應(yīng)的鑒權(quán)密鑰如mdn2000,得到帶校驗的url��。
可選的��,這里需要區(qū)分clientip模式是否開啟���,來決定是否拼接clientip字段�。具體通過查看互聯(lián)網(wǎng)緩存中該所請求資源的url對應(yīng)的stream_base.xml中的clientipmode字段來區(qū)分clientip模式是否開啟��。
如果clientipmode字段的值為on�,表示在拼接的時候需要帶上clientip。假設(shè)clientip為10.156.183.19����。那么拼接成的待校驗url為:
http://10.156.183.19:80/filepath/avsync.3gp.m3u8?msisdn=13817433773&mdspid=&spid=699013&nettype=4&sid=2049016655&pid=2028593134_2028593207_2028593174&channel_id=0109_03000010-99000-100100010010001&programid=502358623&parentnodeid=10242953×tamp=20130608151500&clientip=10.156.183.19mdn2000
如果clientipmode字段的值為off�,表示在拼接的時候不需要帶上clientip。那么拼接成的待校驗url為:
http://10.156.183.19:80/filepath/avsync.3gp.m3u8���?msisdn=13817433773&mdspid=&spid=699013&nettype=4&sid=2049016655&pid=2028593134_2028593207_2028593174&channel_id=0109_03000010-99000-100100010010001&programid=502358623&parentnodeid=10242953×tamp=20130608151500mdn2000
將所述待校驗url進行密鑰版本為md5的加密算法進行加密�����,生成32字節(jié)的鑒權(quán)字段ψ2�;將生成的鑒權(quán)字段和所述url地址中的encrypt字段即校驗字段進行比較。
如果比較不一致���,即ψ1≠ψ2,則認為該url地址不合法�,拒絕用戶請求。如果比較一致��,即ψ1=ψ2�����,則認為該url地址是合法���。示例的�����,如果是步驟302的用戶終端發(fā)送的用戶請求��,則最終生成的鑒權(quán)字段是根據(jù)該用戶終端的 用戶信息生成����,必然為fb75dd66d49c54635acd020600767444,即ψ1=ψ2���,如果是盜鏈網(wǎng)站發(fā)送的用戶請求����,則最終生成的鑒權(quán)字段是根據(jù)盜鏈網(wǎng)站的用戶信息生成的必然不等于ψ1��。這樣就可以確定所述用戶信息鑒權(quán)是否合法�。
步驟405、在確定所述用戶信息鑒權(quán)合法時���,返回所述所請求資源的url對應(yīng)的資源內(nèi)容�。
可選的����,如本實施例中給出的示例,所述所請求資源的url的字段中還包括有效期���,即timestamp=20130608151500����,當前時間超過有效期時,則認為該所請求資源的url已過期��,拒絕用戶請求���。如果確定所述用戶信息鑒權(quán)合法且當前時間在有效期內(nèi)�����,則為用戶終端提供后續(xù)服務(wù)��,返回所述所請求資源的url對應(yīng)的資源內(nèi)容。
方法二無需源網(wǎng)站進行鑒權(quán)進行交互���,鑒權(quán)和服務(wù)完全在互聯(lián)網(wǎng)緩存實現(xiàn)�,但網(wǎng)站需要與互聯(lián)網(wǎng)緩存合作開放加密方法�、鑒權(quán)密鑰、密鑰版本等信息��。
本實施例方法通過提供對互聯(lián)網(wǎng)緩存的兩種防盜鏈方法���,在本地或遠端鑒權(quán)通過后����,才正常響應(yīng)用戶請求,實現(xiàn)了互聯(lián)網(wǎng)緩存的防盜鏈功能�����,防止了互聯(lián)網(wǎng)緩存被惡意利用�����,同時提升了互聯(lián)網(wǎng)緩存系統(tǒng)的健壯性�。
實施例2
本發(fā)明實施還提供了一種互聯(lián)網(wǎng)緩存,如圖5所示����,所述互聯(lián)網(wǎng)緩存包括:接收單元501,鑒權(quán)單元502����,返回單元503,其中���,
接收單元501�,用于接收攜帶有統(tǒng)一資源定位符url地址的用戶請求�����,所述url地址中包括用戶信息,所請求資源的url��,校驗字段���;
鑒權(quán)單元502���,用于根據(jù)所述接收單元501接收到的校驗字段對所述接收單元接收到的用戶信息進行鑒權(quán);
返回單元503�����,用于在所述鑒權(quán)單元502對所述用戶信息鑒權(quán)合法時���,返回所述接收單元501接收到的所請求資源的url對應(yīng)的資源內(nèi)容。
可選的�,如圖6所示,所述互聯(lián)網(wǎng)緩存還包括切割單元507����,其中,
所述切割單元507��,用于將所述接收單元501接收到的所述url地址切割為校驗字段以及包含所述用戶信息和所請求資源的url的字段�。
可選的,如圖6所示,所述互聯(lián)網(wǎng)緩存還包括發(fā)送單元504�,其中,
所述發(fā)送單元504�,用于將攜帶有所述切割單元507切割后的校驗字段以及包含所述用戶信息和所請求資源的url的字段的認證請求發(fā)送給源網(wǎng)站;
所述接收單元501���,還用于接收所述源網(wǎng)站返回的認證結(jié)果通知�����,其中����,所述認證結(jié)果通知中攜帶有所述源網(wǎng)站應(yīng)用所述校驗字段對所述用戶信息進行鑒權(quán)的鑒權(quán)結(jié)果�;
相應(yīng)的,所述鑒權(quán)單元502�,具體用于在所述接收單元501接收到的所述認證結(jié)果通知中攜帶的鑒權(quán)結(jié)果是鑒權(quán)成功時,確定所述用戶信息鑒權(quán)合法�。
可選的,如圖6所示����,所述互聯(lián)網(wǎng)緩存還包括加載單元505,其中���,
所述加載單元505�����,用于加載源網(wǎng)站提供的加密算法����、密鑰版本和鑒權(quán)密鑰;
所述鑒權(quán)單元502���,具體用于將所述切割單元507切割后的包含所述用戶信息和所請求資源的url的字段拼接所述加載單元505加載的密鑰版本對應(yīng)的鑒權(quán)密鑰生成待校驗url�;用所述密鑰版本對應(yīng)的加密算法對所述待校驗url進行加密生成鑒權(quán)字段�;在所述鑒權(quán)字段與所述校驗字段一致時,確定所述用戶信息鑒權(quán)合法�����。
可選的��,所述所請求資源的url的字段中還包括有效期���;相應(yīng)的,所述返回單元503���,具體用于在所述有效期內(nèi)返回所述所請求資源的url對應(yīng)的資源內(nèi)容����。
可選的,如圖6所示�����,所述互聯(lián)網(wǎng)緩存還包括認證單元506����,其中,
所述認證單元506�,用于在進行tcp三次握手時,進行內(nèi)核態(tài)鑒權(quán)��,提取握手報文中的tcp/ip五元組��,對提取到的所述tcp/ip五元組進行鑒權(quán)認證���;
所述返回單元503��,還用于在所述認證單元506認證通過時����,返回建立鏈接響應(yīng);在所述認證單元506認證未通過時����,返回斷開鏈接響應(yīng)。
在實際應(yīng)用中��,本實施例中所述的接收單元501����,鑒權(quán)單元502,返回單元503����,發(fā)送單元504,加載單元505�,認證單元506和切割單元507可以由互聯(lián)網(wǎng)緩存上的中央處理器(cpu)、微處理器(mpu)��、數(shù)字信號處理器(dsp) 或現(xiàn)場可編程門陣列(fpga)�����、調(diào)制解調(diào)器等器件實現(xiàn)����。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實施例可提供為方法����、系統(tǒng)、或計算機程序產(chǎn)品�����。因此�,本發(fā)明可采用硬件實施例、軟件實施例��、或結(jié)合軟件和硬件方面的實施例的形式���。而且���,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器和光學存儲器等)上實施的計算機程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實施例的方法��、設(shè)備(系統(tǒng))�、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�����、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?��?商峁┻@些計算機程序指令到通用計算機��、專用計算機�����、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器�,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置���。
這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中���,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能���。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上����,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理���,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟����。
以上所述����,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍��。