CN103546439A - 内容请求的处理方法及装置 - Google Patents
内容请求的处理方法及装置 Download PDFInfo
- Publication number
- CN103546439A CN103546439A CN201210245725.8A CN201210245725A CN103546439A CN 103546439 A CN103546439 A CN 103546439A CN 201210245725 A CN201210245725 A CN 201210245725A CN 103546439 A CN103546439 A CN 103546439A
- Authority
- CN
- China
- Prior art keywords
- content
- described content
- requests
- verification
- content requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种内容请求的处理方法及装置。其中,该方法包括:接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;如果校验成功,则继续处理上述内容请求;如果校验失败,则停止处理上述内容请求。通过本发明,接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;如果校验成功,则继续处理上述内容请求;如果校验失败,则停止处理上述内容请求,解决了相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,进而提升了防止内容网络攻击的效果,提高了内容请求的准确性和成功率,提升了用户体验。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种内容请求的处理方法及装置。
背景技术
当前的互联网设计于几十年前,是为主机之间端到端的通信而设计,为主机之间进行互联网协议(Internet Protocol,简称为IP)报文的路由。这一设计已不适应互联网流量模型的变化。互联网已步入内容(该内容一般是指网页、视频、图片等)时代,内容传输已占据互联网流量的大部分。为了有效支持内容的传输,内容网络(也可以称为面向内容的网络、面向数据的网络、面向信息的网络)被提出。
内容网络提出内容应用,采用内容请求/应答的模式取代主机间通信的模式。内容网络由具备内容缓存功能的内容路由节点组成,能够识别内容请求报文、内容数据报文。内容请求节点发出内容请求后,内容网络中的内容路由节点若已缓存了该内容,可直接将该内容返回给内容请求节点,若内容网络中的内容路由节点未缓存该内容,内容请求将最终路由到内容源节点,并由内容源节点返回该内容,内容源节点返回的内容经由内容路由节点,最终路由到达内容请求节点,内容路由节点可缓存途径的内容报文。在内容网络中,内容路由节点记录下已转发但未收到应答的内容请求的信息,以便在收到应答的内容或收到错误消息时,转发给内容请求节点。同时,可利用记录的该信息,避免重复发送对相同内容的请求。
经过分析,我们发现内容网络中存在一个安全漏洞:恶意的内容请求节点与伪造的内容源节点配合,可以阻断其他内容请求节点获取内容。图1是根据本发明实施例的对内容网络的攻击流程的示意图,如图1所示,该过程包括以下步骤(步骤S102-步骤S120):
步骤S102,内容请求节点1获取内容标识;
步骤S104,内容请求节点1向内容路由节点1请求内容www.a.com/b/1.jpg/packet1,该请求内容中包括伪造的内容源节点地址。
步骤S106,内容路由节点1根据内容标识检查该内容是否缓存,假设该实施例中检查结果为未缓存。
步骤S108,内容路由节点1根据内容标识检查该内容是否已请求,假设该实施例中检查结果为未请求。
步骤S110,内容路由节点1将上述内容请求转发至伪造的内容源节点,而不会转发至真正的内容源节点1。
步骤S112,内容请求节点2获取内容标识。
步骤S114,内容请求节点2向内容路由节点1请求内容www.a.com/b/1.jpg/packet1,该请求内容中包括伪造的内容源节点地址。
步骤S116,内容路由节点1根据内容标识检查该内容是否缓存,检查结果为未缓存。
步骤S118,内容路由节点1根据内容标识检查该内容是否已请求,因为内容请求节点1已经对该内容进行了请求,因此此处检查结果为已请求。
步骤S120,伪造的内容源节点分别向内容路由节点1、内容请求节点1以及内容请求节点2返回错误响应。
恶意的内容请求节点1对内容路由节点1提供了虚假的内容源节点的地址,内容请求最终被路由到伪造的内容源节点。由于内容路由节点1采用了避免重复发生相同内容请求的优化机制,后续的内容请求节点2对相同内容的请求无法被路由到正确的内容源节点1或内容源节点2。伪造的内容源节点可以返回“内容不存在”等错误响应,来使得内容请求节点2无法获取到内容。伪造的内容源节点也可以通过不应答来使得内容请求节点2无法获取到内容。
针对相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,本发明提供了一种内容请求的处理方法及装置,以至少解决上述问题。
根据本发明的一个方面,提供了一种内容请求的处理方法,该方法包括:接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;如果校验成功,则继续处理上述内容请求;如果校验失败,则停止处理上述内容请求。
接收到上述内容请求之前,上述方法还可以包括:内容请求节点获取内容标识、包含内容源节点地址的数据、上述数字签名以及内容发布者公钥;其中,上述内容标识中包括第一内容发布者标识;接收上述内容请求节点发送的上述内容请求,其中,上述内容请求中携带上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥;或者,接收内容路由节点转发的上述内容请求。
上述内容请求节点可以通过以下方式至少之一获取上述内容标识:用户手工输入、搜索引擎、网页链接;上述内容请求节点可以通过以下方式至少之一获取上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥:域名服务系统DNS、证书的签发机构CA、上述源节点、对等网络追踪服务器P2Ptracker。
上述包含内容源节点地址的数据中可以包括第二内容发布者标识。
对上述内容请求进行校验可以包括:对上述数字签名进行校验;如果对上述数字签名的校验成功,则确定对上述内容请求的校验成功;如果对上述数字签名的校验失败,则确定对上述内容请求的校验失败。
对上述内容请求进行校验可以包括:判断上述第一内容发布者标识与上述内容发布者公钥是否相匹配;如果匹配,则确定对上述内容请求的校验成功;如果不匹配,则确定对上述内容请求的校验失败。
对上述内容请求进行校验可以包括:判断上述第一内容发布者标识与上述第二内容发布者标识是否相匹配;如果匹配,则确定对上述内容请求的校验成功;如果不匹配,则确定对上述内容请求的校验失败。
继续处理上述内容请求可以包括:根据上述内容标识,或者上述内容标识及上述内容发布者公钥,判断本地是否缓存上述内容请求所请求的内容;根据判断结果对上述内容请求进行相应处理。
根据上述内容标识,或者上述内容标识及上述内容发布者公钥,判断本地是否缓存上述内容请求所请求的内容可以包括:根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询缓存索引表,判断本地是否缓存上述内容请求所请求的内容;根据上述判断结果对上述内容请求进行相应处理可以包括:如果判断结果为是,则向上述内容请求节点返回上述内容;如果判断结果为否,则根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询已发送请求的记录,判断本地是否向上述内容源节点地址请求上述内容;如果是,则接收上述内容源节点地址发送的上述内容,并将上述内容转发至上述内容请求节点,如果否,则将上述内容请求转发至上述内容源节点或下一个内容路由节点。
根据本发明的另一方面,提供了一种内容请求的处理装置,该装置包括:请求校验模块,用于在接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;第一请求处理模块,用于在上述请求校验模块的校验成功的情况下,继续处理上述内容请求;第二请求处理模块,用于在上述请求校验模块的校验失败的情况下,停止处理上述内容请求。
上述装置还可以包括:第一请求接收模块,用于接收上述内容请求节点发送的上述内容请求,其中,上述内容请求中携带上述内容请求节点获取的上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥,上述内容标识中可以包括第一内容发布者标识;或者,第二请求接收模块,用于接收内容路由节点转发的上述内容请求。
上述包含内容源节点地址的数据中可以包括第二内容发布者标识。
上述请求校验模块可以包括:签名校验单元,用于对上述数字签名进行校验;第一确定单元,用于在上述签名校验单元对上述数字签名的校验成功的情况下,确定对上述内容请求的校验成功;第二确定单元,用于在上述签名校验单元对上述数字签名的校验失败的情况下,确定对上述内容请求的校验失败。
上述请求校验模块可以包括:第一判断单元,用于判断上述第一内容发布者标识与上述内容发布者公钥是否相匹配;第三确定单元,用于在上述第一判断单元的判断结果为匹配的情况下,确定对上述内容请求的校验成功;第四确定单元,用于在上述第一判断单元的判断结果为不匹配的情况下,确定对上述内容请求的校验失败。
上述请求校验模块可以包括:第二判断单元,用于判断上述第一内容发布者标识与上述第二内容发布者标识是否相匹配;第五确定单元,用于在上述第二判断单元的判断结果为匹配的情况下,确定对上述内容请求的校验成功;第六确定单元,用于在上述第二判断单元的判断结果为不匹配的情况下,确定对上述内容请求的校验失败。
上述第一请求处理模块可以包括:缓存判断单元,用于根据上述内容标识,或者上述内容标识及上述内容发布者公钥,判断本地是否缓存上述内容请求所请求的内容;处理单元,用于根据上述缓存判断单元的判断结果对上述内容请求进行相应处理。
上述缓存判断单元可以包括:缓存判断子单元,用于根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询缓存索引表,判断本地是否缓存上述内容请求所请求的内容;上述处理单元可以包括:内容返回子单元,用于在上述缓存判断单元的判断结果为是的情况下,向上述内容请求节点返回上述内容;内容转发子单元,用于在上述缓存判断单元的判断结果为否的情况下,则根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询已发送请求的记录,判断本地是否向上述内容源节点地址请求上述内容;如果是,则接收上述内容源节点地址发送的上述内容,并将上述内容转发至上述内容请求节点,如果否,则将上述内容请求转发至上述内容源节点或下一个内容路由节点。
通过本发明,接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;如果校验成功,则继续处理上述内容请求;如果校验失败,则停止处理上述内容请求,解决了相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,进而提升了防止内容网络攻击的效果,提高了内容请求的准确性和成功率,提升了用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的对内容网络的攻击流程的示意图;
图2是根据本发明实施例的内容请求的处理方法的流程图;
图3是根据本发明实施例一的防止内容网络攻击的方法示意图;
图4是根据本发明实施例二的防止内容网络攻击的方法示意图;
图5是根据本发明实施例三的防止内容网络攻击的方法示意图;
图6是根据本发明实施例四的防止内容网络攻击的方法示意图;
图7是根据本发明实施例的内容请求的处理装置的结构框图;
图8是根据本发明实施例的内容请求的处理装置的具体结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
相关技术中,如果内容请求节点向内容路由节点进行内容请求时,可能会携带伪造的内容源地址,这样可能会导致内容请求被引致错误的内容源地址,从而返回错误信息或者收不到返回信息,影响用户应用,基于此,本发明实施例提供了一种内容请求的处理方法及装置。下面通过实施例进行详细说明。
本实施例提供了一种内容请求的处理方法,如图2所示的内容请求的处理方法的流程图,该方法包括以下步骤(步骤S202-步骤S206):
步骤S202,接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;
步骤S204,如果校验成功,则继续处理上述内容请求;
步骤S206,如果校验失败,则停止处理上述内容请求。
通过上述实施例,接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;如果校验成功,则继续处理上述内容请求;如果校验失败,则停止处理上述内容请求,解决了相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,进而提升了防止内容网络攻击的效果,提高了内容请求的准确性和成功率,提升了用户体验。
在接收内容请求之前,内容请求节点需要先获取内容标识、包含内容源节点地址的数据、上述数字签名以及内容发布者公钥;其中,内容标识中包括第一内容发布者标识;然后,接收内容请求节点发送的上述内容请求,其中,该内容请求中携带上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥;或者,接收内容路由节点转发的上述内容请求。通过上述方式,为后续将内容请求发送至内容路由节点提供基础。
内容请求节点可以通过多种方式获取内容标识,本实施例提供了一种优选实施方式,即内容请求节点能够通过以下方式至少之一获取内容标识:用户手工输入、搜索引擎、网页链接;上述内容请求节点能够通过以下方式至少之一获取上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥:域名服务系统(Domain Name System,简称为DNS)、证书的签发机构CA、上述源节点、P2Ptracker(对等网络追踪服务器)。
内容路由节点收到内容请求后,通过校验内容源节点地址的签名,来判断内容请求中的内容源节点地址是否伪造,根据判断结果分别处理。若判断为伪造,则不再处理该内容请求;否则,继续处理该内容请求,例如将该内容请求转发到下一跳。
内容标识中包括第一内容发布者标识,包含内容源节点地址的数据中包括第二内容发布者标识。内容发布者标识可以是多种形式。比如,可读的字符串(例如DNS域名)、公钥、公钥的哈希值等。
内容路由节点收到内容请求后,对内容请求进行校验,本实施例提供了校验的三种优选实施方式,当然,本实施例并不仅限于下述三种校验方式,只要能够对内容请求进行合理校验即可。下面分别进行介绍。
第一种校验方式:对内容请求进行校验包括:对数字签名进行校验;如果对数字签名的校验成功,则确定对内容请求的校验成功;如果对数字签名的校验失败,则确定对内容请求的校验失败。
第二种校验方式:对内容请求进行校验包括:判断第一内容发布者标识与内容发布者公钥是否相匹配;如果匹配,则确定对内容请求的校验成功;如果不匹配,则确定对内容请求的校验失败。具体地:
内容路由节点判断内容标识中的第一内容发布者标识与内容请求中提供的内容发布者公钥是否相符,若不相符则认为内容请求是不合法的报文。内容标识中的第一内容发布者标识的形式有多种,相应判断是否相符有多种方法。例如,如果内容标识中的第一内容发布者标识的形式是公钥,直接比较内容标识中的第一内容发布者标识与内容发布者公钥是否相等;如果内容标识中的第一内容发布者标识的形式是公钥的哈希值,将内容请求中的内容发布者公钥哈希后与内容标识中的第一内容发布者标识比较是否相等;如果内容标识中的第一内容发布者标识是诸如DNS域名的字符串形式,可通过CA颁发的证书来证明内容标识中的第一内容发布者标识与内容请求中的内容发布者公钥是对应的。
第三种校验方式:对内容请求进行校验包括:判断第一内容发布者标识与第二内容发布者标识是否相匹配;如果匹配,则确定对内容请求的校验成功;如果不匹配,则确定对内容请求的校验失败。具体地:
内容路由节点判断包含内容源节点地址的数据中的第二内容发布者标识与内容标识中的第一内容发布者标识是否相符,若不相符则认为是不合法的报文。两个内容发布者标识的形式有多种不同组合,相应判断是否相符有多种不同方法。例如,如果两个标识形式相同,判断两个标识是否相等;如果一个标识是公钥且另一个标识是公钥的哈希值,将公钥形式的标识哈希后与公钥哈希值形式的另一个标识比较是否相等;如果一个标识是诸如DNS域名的字符串形式,另一个标识是公钥形式,可通过CA颁发的证书来证明两个标识是对应的。
在内容路由节点对内容请求的校验成功后,继续处理内容请求,本实施例提供了一种优选实施方式,即继续处理内容请求包括:根据内容标识,或者内容标识及内容发布者公钥,判断本地是否缓存上述内容请求所请求的内容;根据判断结果对上述内容请求进行相应处理。
具体地,根据内容标识,或者内容标识及内容发布者公钥,判断本地是否缓存内容请求所请求的内容可以通过以下优选实施方式实现:根据内容标识,或者内容标识及内容发布者公钥,查询缓存索引表,判断本地是否缓存上述内容请求所请求的内容;
根据上述判断结果对上述内容请求进行相应处理可以通过以下优选实施方式实现:如果判断结果为是,则向内容请求节点返回内容;如果判断结果为否,则根据内容标识,或者内容标识及内容发布者公钥,查询已发送请求的记录,判断本地是否向内容源节点地址请求上述内容;如果是,则接收内容源节点地址发送的上述内容,并将该内容转发至内容请求节点,如果否,则将内容请求转发至内容源节点或下一个内容路由节点。
下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。
实施例一
图3是根据本发明实施例一的防止内容网络攻击的方法示意图,如图3所示,内容请求的构建和校验流程包括以下步骤(步骤S302-步骤S314):
步骤S302,内容请求节点1获取内容标识,内容请求节点可以通过用户手工输入、搜索引擎、网页链接等方式获得内容标识。假设本实施例中的内容标识的形式是统一资源定位符(Uniform Resource Locator,简称为URL),例如:www.a.com/b/1.jpg/packet1。内容标识中的域名部分是内容发布者的标识,例如:www.a.com。
步骤S304,内容请求节点1查询DNS,获得内容发布者“www.a.com”的A/AAAA记录、RRSIG(单笔资源记载)记录、DNSKEY(域名系统密钥)记录。
内容请求节点可获取A记录或AAAA记录。A记录包含域名www.a.com及该域名对应的内容源节点IPv4地址;AAAA记录包含域名www.a.com及该域名对应的内容源节点IPv6地址。
RRSIG记录包含域名www.a.com的A记录或AAAA记录的签名。DNSKEY记录包含域名www.a.com的DNS zone“a.com”的公钥。
步骤S306,内容请求节点1向内容路由节点1发送内容请求报文,该报文包含所请求的内容标识www.a.com/b/1.jpg/packet1、www.a.com的A记录或AAAA记录、A记录或AAAA记录的签名、a.com的公钥。
步骤S308,内容路由节点1校验内容请求报文,若校验通过则执行后续步骤,正常进行处理,否则丢弃上述内容请求报文,不再处理。
校验过程包括:校验内容标识中的域名与A记录或AAAA记录中的域名是否相同;校验A记录或AAAA记录的签名是否正确。
使用DNS支持的算法校验签名。例如,对A记录或AAAA记录做哈希运算得到A记录或AAAA记录的摘要;使用内容请求中包含的内容源公钥,对A记录或AAAA记录的签名进行解码,将解码结果对比摘要,若一致则验证通过,否则验证不通过。
步骤S310,内容路由节点1根据内容请求报文提供的内容标识和公钥查询本地是否缓存了所请求的内容,假设本实施例的查询结果为未缓存。
步骤S312,内容路由节点1根据内容请求报文提供的内容标识和公钥查询本节点是否已请求该内容并在等待应答,假设本实施例的查询结果是未请求。
步骤S314,内容路由节点1转发内容请求到下一跳,即内容源节点1。
上述步骤S310、步骤S312采用内容标识和公钥来进行查询,以内容标识加公钥作为区分内容的标准,可避免验证内容标识中的域名和公钥的对应关系。这样可降低内容路由节点的处理开销,也不必需要全球统一的CA来支持验证内容标识中的域名和公钥的对应关系,还可允许自签名。这样也不会因为使用假公钥的攻击者造成正常用户无法获得内容。
实施例二
图4是根据本发明实施例二的防止内容网络攻击的方法示意图,如图4所示,内容请求的构建和校验流程包括以下步骤(步骤S402-步骤S422):
步骤S402,内容请求节点1获取内容标识,内容请求节点可以通过用户手工输入、搜索引擎、网页链接等方式获得内容标识。
假设本实施例中的内容标识形式是P:L形式,包含内容发布者公钥的哈希值和该内容发布者范围内唯一的内容标签,例如:P1:L1,其中P1为内容发布者公钥的哈希值,L1为字符串“/b/1.jpg/packet1”。
步骤S404,内容请求节点1获得内容发布者颁发的内容源地址的X.509证书,X.509证书包含:证书主体、证书签名算法标识、证书签名值。
内容源地址的X.509证书的证书主体包含:内容发布者的公钥、内容源节点的地址。该证书由内容发布者自己签名。内容请求节点可以通过CA、内容源节点、P2P tracker等获得X.509证书。
步骤S406,内容请求节点1向内容路由节点1发送内容请求报文,该报文包含所请求的内容标识P1:L1、内容源地址的X.509证书。
步骤S408,内容路由节点1校验内容请求报文,若校验通过则执行后续步骤,正常进行处理,否则丢弃上述内容请求报文,不再处理。
校验过程包括:校验内容标识中的P部分与X.509证书中的公钥是否相符,具体方法是将公钥哈希值与P1比对是否相同;X.509证书的签名校验是否正确,使用X.509证书中证书签名算法标识所指示的算法校验签名。
步骤S410,内容路由节点1根据内容请求报文提供的内容标识查询本地是否缓存了所请求的内容,假设本实施例的查询结果为未缓存。
步骤S412,内容路由节点1根据内容请求报文提供的内容标识查询本节点是否已请求该内容并在等待应答,假设本实施例的查询结果是未请求。
步骤S414,内容路由节点1转发内容请求到下一跳,即内容请求节点2,该请求包含所请求的内容标识P1:L1、内容源地址的X.509证书。
步骤S416,内容路由节点2校验内容请求报文,若校验通过则执行后续步骤,正常进行处理,否则丢弃上述内容请求报文,不再处理;
校验过程包括:校验内容标识中的P部分与X.509证书中的公钥是否相符,方法是将公钥哈希值与P1比对是否相同;X.509证书的签名校验是否正确,使用X.509证书中证书签名算法标识所指示的算法校验签名。
步骤S418,内容路由节点2根据内容请求报文提供的内容标识查询本地是否缓存了所请求的内容,假设本实施例的查询结果为未缓存。
步骤S420,内容路由节点2根据内容请求报文提供的内容标识查询本节点是否已请求该内容并在等待应答,假设本实施例的查询结果是未请求。
步骤S422,内容路由节点2转发内容请求到下一跳,即内容源节点1。
实施例三
图5是根据本发明实施例三的防止内容网络攻击的方法示意图,如图5所示,内容请求的构建和校验流程包括以下步骤(步骤S502-步骤S512):
步骤S502,内容请求节点1获取内容标识、内容发布者公钥、内容源地址、内容源地址的签名。
内容请求节点可以通过用户手工输入、搜索引擎、网页链接等方式获得内容标识;内容请求节点可以通过CA、内容源节点、P2P tracker等获得内容发布者公钥、内容源地址、内容源地址的签名。
步骤S504,内容请求节点1向内容路由节点1发送内容请求报文,该报文包含所请求的内容标识、内容发布者公钥、内容源地址、内容源地址的签名。
步骤S506,内容路由节点1校验内容请求报文,若校验通过则执行后续步骤,正常进行处理,否则丢弃上述内容请求报文,不再处理。
校验过程包括:校验内容标识中的内容发布者标识与内容请求中的公钥是否相符;校验内容源地址的签名是否正确。
根据内容标识中的内容发布者标识的形式,采用不同方法判断校验内容标识中的内容发布者标识与内容请求中的公钥是否相符。例如,如果内容标识中的内容发布者标识的形式是公钥,直接比较内容标识中的内容发布者标识与内容发布者公钥是否相等;如果内容标识中的内容发布者标识的形式是公钥的哈希值,将内容请求中的内容发布者公钥哈希后与内容标识中的内容发布者标识比较是否相等;如果内容标识中的内容发布者标识是诸如DNS域名的字符串形式,可通过CA颁发的证书来证明内容标识中的内容发布者标识与内容请求中的内容发布者公钥是对应的,内容请求节点1应获取CA颁发给内容发布者的证书并放入内容请求报文中,内容路由节点1需获取CA的公钥以验证该证书。
使用基于公私钥的签名校验算法校验签名。例如,使用内容请求中包含的内容源公钥对内容源地址的签名进行解码,将解码结果对比内容请求中的内容源地址,若一致则验证通过,否则验证不通过。
步骤S508,内容路由节点1根据内容请求报文提供的内容标识查询本地是否缓存了所请求的内容,假设本实施例的查询结果为未缓存。
步骤S510,内容路由节点1根据内容请求报文提供的内容标识查询本节点是否已请求该内容并在等待应答,假设本实施例的查询结果是未请求。
步骤S512,内容路由节点1转发内容请求到下一跳,即内容源节点1。
实施例四
图6是根据本发明实施例四的防止内容网络攻击的方法示意图,如图6所示,内容请求的构建和校验流程包括以下步骤(步骤S602-步骤S612):
步骤S602,内容请求节点1获取内容标识、内容发布者公钥、内容源地址、内容源地址的签名。
内容请求节点可以通过用户手工输入、搜索引擎、网页链接等方式获得内容标识;内容请求节点可以通过CA、内容源节点、P2P tracker等获得内容发布者公钥、内容源地址、内容源地址的签名。内容标识是诸如URL的可读字符串形式,其中的内容发布者标识是诸如域名的可读字符串形式。
步骤S604,内容请求节点1向内容路由节点1发送内容请求报文,该报文包含所请求的内容标识、内容发布者公钥、内容源地址、内容源地址的签名。
步骤S606,内容路由节点1校验内容请求报文,若校验通过则执行后续步骤,正常进行处理,否则丢弃上述内容请求报文,不再处理。
校验过程包括:校验内容源地址的签名是否正确。使用基于公私钥的签名校验算法校验签名。例如,使用内容请求中包含的内容源公钥对内容源地址的签名进行解码,将解码结果对比内容请求中的内容源地址,若一致则验证通过,否则验证不通过。
步骤S608,内容路由节点1根据内容请求报文提供的内容标识和公钥查询本地是否缓存了所请求的内容,假设本实施例的查询结果为未缓存。
步骤S610,内容路由节点1根据内容请求报文提供的内容标识和公钥查询本节点是否已请求该内容并在等待应答,假设本实施例的查询结果是未请求。
步骤S612,内容路由节点1转发内容请求到下一跳,即内容源节点1。
步骤S608、S610采用内容标识和公钥来进行查询,以内容标识加公钥作为区分内容的标准,可避免验证内容标识中的内容发布者标识和公钥的对应关系。这样可降低内容路由节点的处理开销,也不必需要全球统一的CA来支持验证内容标识中的内容发布者标识和公钥的对应关系,还可允许自签名。这样也不会因为使用假公钥的攻击者造成正常用户无法获得内容。
对应于上述内容请求的处理方法,本实施例提供了一种内容请求的处理装置,该装置用于实现上述实施例。图7是根据本发明实施例的内容请求的处理装置的结构框图,如图7所示,该装置包括:请求校验模块10、第一请求处理模块20和第二请求处理模块30。下面对该结构进行说明。
请求校验模块10,用于在接收到内容请求后,对该内容请求进行校验;其中,该内容请求中包括对包含内容源节点地址的数据的数字签名;
第一请求处理模块20,连接至请求校验模块10,用于在上述请求校验模块10的校验成功的情况下,继续处理上述内容请求;
第二请求处理模块30,连接至请求校验模块10,用于在上述请求校验模块10的校验失败的情况下,停止处理上述内容请求。
通过上述实施例,请求校验模块10接收到内容请求后,对该内容请求进行校验,如果校验成功,则第一请求处理模块20继续处理上述内容请求;如果校验失败,则第二请求处理模块30停止处理上述内容请求,解决了相关技术中内容请求节点中携带伪造的内容源地址,导致无法请求到正确内容的问题,进而提升了防止内容网络攻击的效果,提高了内容请求的准确性和成功率,提升了用户体验。
在接收内容请求之前,内容请求节点需要先获取内容标识、包含内容源节点地址的数据、上述数字签名以及内容发布者公钥,为后续将内容请求发送至内容路由节点提供基础。因此,本实施例提供了一种优选实施方式,如图8所示的内容请求的处理装置的具体结构框图,该装置除了包括上述图7中的各个模块之外,还包括:第一请求接收模块40和第二请求接收模块50。下面对该结构进行说明。
第一请求接收模块40,用于接收上述内容请求节点发送的上述内容请求,其中,上述内容请求中携带上述内容请求节点获取的上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥,上述内容标识中包括第一内容发布者标识;或者,
第二请求接收模块50,连接至第一请求接收模块40和请求校验模块10,用于接收内容路由节点转发的上述内容请求。
内容请求节点可以通过多种方式获取内容标识,本实施例提供了一种优选实施方式,即内容请求节点能够通过以下方式至少之一获取内容标识:用户手工输入、搜索引擎、网页链接;上述内容请求节点能够通过以下方式至少之一获取上述内容标识、上述包含内容源节点地址的数据、上述数字签名以及上述内容发布者公钥:DNS、证书的签发机构CA、上述源节点、P2Ptracker。
内容路由节点收到内容请求后,通过校验内容源节点地址的签名,来判断内容请求中的内容源节点地址是否伪造,根据判断结果分别处理。若判断为伪造,则不再处理该内容请求;否则,继续处理该内容请求,例如将该内容请求转发到下一跳。
内容标识中包括第一内容发布者标识,包含内容源节点地址的数据中包括第二内容发布者标识。内容发布者标识可以是多种形式。比如,可读的字符串(例如DNS域名)、公钥、公钥的哈希值等。
内容路由节点收到内容请求后,对内容请求进行校验,本实施例提供了校验的三种优选实施方式,当然,本实施例并不仅限于下述三种校验方式,只要能够对内容请求进行合理校验即可。下面分别进行介绍。
第一种校验方式:对内容请求进行校验包括:对数字签名进行校验;如果对数字签名的校验成功,则确定对内容请求的校验成功;如果对数字签名的校验失败,则确定对内容请求的校验失败。
即上述请求校验模块10还可以包括:签名校验单元,用于对上述数字签名进行校验;第一确定单元,用于在上述签名校验单元对上述数字签名的校验成功的情况下,确定对上述内容请求的校验成功;第二确定单元,用于在上述签名校验单元对上述数字签名的校验失败的情况下,确定对上述内容请求的校验失败。
第二种校验方式:对内容请求进行校验包括:判断第一内容发布者标识与内容发布者公钥是否相匹配;如果匹配,则确定对内容请求的校验成功;如果不匹配,则确定对内容请求的校验失败。具体的校验过程前面已经进行了介绍,在此不再赘述。
即上述请求校验模块10还可以包括:第一判断单元,用于判断上述第一内容发布者标识与上述内容发布者公钥是否相匹配;第三确定单元,用于在上述第一判断单元的判断结果为匹配的情况下,确定对上述内容请求的校验成功;第四确定单元,用于在上述第一判断单元的判断结果为不匹配的情况下,确定对上述内容请求的校验失败。
第三种校验方式:对内容请求进行校验包括:判断第一内容发布者标识与第二内容发布者标识是否相匹配;如果匹配,则确定对内容请求的校验成功;如果不匹配,则确定对内容请求的校验失败。具体的校验过程前面已经进行了介绍,在此不再赘述。
即上述请求校验模块10还可以包括:第二判断单元,用于判断上述第一内容发布者标识与上述第二内容发布者标识是否相匹配;第五确定单元,用于在上述第二判断单元的判断结果为匹配的情况下,确定对上述内容请求的校验成功;第六确定单元,用于在上述第二判断单元的判断结果为不匹配的情况下,确定对上述内容请求的校验失败。
在内容路由节点对内容请求的校验成功后,继续处理内容请求,本实施例提供了一种优选实施方式,即上述第一请求处理模块20可以包括:缓存判断单元,用于根据上述内容标识,或者上述内容标识及上述内容发布者公钥,判断本地是否缓存上述内容请求所请求的内容;处理单元,用于根据上述缓存判断单元的判断结果对上述内容请求进行相应处理。
具体地,上述缓存判断单元可以包括:缓存判断子单元,用于根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询缓存索引表,判断本地是否缓存上述内容请求所请求的内容;
上述处理单元可以包括:内容返回子单元,用于在上述缓存判断单元的判断结果为是的情况下,向上述内容请求节点返回上述内容;内容转发子单元,用于在上述缓存判断单元的判断结果为否的情况下,则根据上述内容标识,或者上述内容标识及上述内容发布者公钥,查询已发送请求的记录,判断本地是否向上述内容源节点地址请求上述内容;如果是,则接收上述内容源节点地址发送的上述内容,并将上述内容转发至上述内容请求节点,如果否,则将上述内容请求转发至上述内容源节点或下一个内容路由节点。
从以上的描述中可以看出,本发明通过对内容请求节点的内容请求进行校验,阻断了伪造内容源地址的发送,防止了内容网络中阻断用户访问内容的攻击,提升了防止内容网络攻击的效果,提高了内容请求的准确性和成功率,提升了用户体验。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种内容请求的处理方法,其特征在于,包括:
接收到内容请求后,对所述内容请求进行校验;其中,所述内容请求中包括对包含内容源节点地址的数据的数字签名;
如果校验成功,则继续处理所述内容请求;
如果校验失败,则停止处理所述内容请求。
2.根据权利要求1所述的方法,其特征在于,接收到所述内容请求之前,所述方法还包括:
内容请求节点获取内容标识、包含内容源节点地址的数据、所述数字签名以及内容发布者公钥;其中,所述内容标识中包括第一内容发布者标识;
接收所述内容请求节点发送的所述内容请求,其中,所述内容请求中携带所述内容标识、所述包含内容源节点地址的数据、所述数字签名以及所述内容发布者公钥;或者,接收内容路由节点转发的所述内容请求。
3.根据权利要求2所述的方法,其特征在于,
所述内容请求节点通过以下方式至少之一获取所述内容标识:用户手工输入、搜索引擎、网页链接;
所述内容请求节点通过以下方式至少之一获取所述内容标识、所述包含内容源节点地址的数据、所述数字签名以及所述内容发布者公钥:域名服务系统DNS、证书的签发机构CA、所述源节点、对等网络追踪服务器P2Ptracker。
4.根据权利要求2所述的方法,其特征在于,所述包含内容源节点地址的数据中包括第二内容发布者标识。
5.根据权利要求1所述的方法,其特征在于,对所述内容请求进行校验包括:
对所述数字签名进行校验;
如果对所述数字签名的校验成功,则确定对所述内容请求的校验成功;
如果对所述数字签名的校验失败,则确定对所述内容请求的校验失败。
6.根据权利要求2所述的方法,其特征在于,对所述内容请求进行校验包括:
判断所述第一内容发布者标识与所述内容发布者公钥是否相匹配;
如果匹配,则确定对所述内容请求的校验成功;
如果不匹配,则确定对所述内容请求的校验失败。
7.根据权利要求4所述的方法,其特征在于,对所述内容请求进行校验包括:
判断所述第一内容发布者标识与所述第二内容发布者标识是否相匹配;
如果匹配,则确定对所述内容请求的校验成功;
如果不匹配,则确定对所述内容请求的校验失败。
8.根据权利要求2所述的方法,其特征在于,继续处理所述内容请求包括:
根据所述内容标识,或者所述内容标识及所述内容发布者公钥,判断本地是否缓存所述内容请求所请求的内容;
根据判断结果对所述内容请求进行相应处理。
9.根据权利要求8所述的方法,其特征在于,
根据所述内容标识,或者所述内容标识及所述内容发布者公钥,判断本地是否缓存所述内容请求所请求的内容包括:根据所述内容标识,或者所述内容标识及所述内容发布者公钥,查询缓存索引表,判断本地是否缓存所述内容请求所请求的内容;
根据所述判断结果对所述内容请求进行相应处理包括:
如果判断结果为是,则向所述内容请求节点返回所述内容;
如果判断结果为否,则根据所述内容标识,或者所述内容标识及所述内容发布者公钥,查询已发送请求的记录,判断本地是否向所述内容源节点地址请求所述内容;如果是,则接收所述内容源节点地址发送的所述内容,并将所述内容转发至所述内容请求节点,如果否,则将所述内容请求转发至所述内容源节点或下一个内容路由节点。
10.一种内容请求的处理装置,其特征在于,包括:
请求校验模块,用于在接收到内容请求后,对所述内容请求进行校验;其中,所述内容请求中包括对包含内容源节点地址的数据的数字签名;
第一请求处理模块,用于在所述请求校验模块的校验成功的情况下,继续处理所述内容请求;
第二请求处理模块,用于在所述请求校验模块的校验失败的情况下,停止处理所述内容请求。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第一请求接收模块,用于接收所述内容请求节点发送的所述内容请求,其中,所述内容请求中携带所述内容请求节点获取的所述内容标识、所述包含内容源节点地址的数据、所述数字签名以及所述内容发布者公钥,所述内容标识中包括第一内容发布者标识;或者,
第二请求接收模块,用于接收内容路由节点转发的所述内容请求。
12.根据权利要求11所述的装置,其特征在于,所述包含内容源节点地址的数据中包括第二内容发布者标识。
13.根据权利要求10所述的装置,其特征在于,所述请求校验模块包括:
签名校验单元,用于对所述数字签名进行校验;
第一确定单元,用于在所述签名校验单元对所述数字签名的校验成功的情况下,确定对所述内容请求的校验成功;
第二确定单元,用于在所述签名校验单元对所述数字签名的校验失败的情况下,确定对所述内容请求的校验失败。
14.根据权利要求11所述的装置,其特征在于,所述请求校验模块包括:
第一判断单元,用于判断所述第一内容发布者标识与所述内容发布者公钥是否相匹配;
第三确定单元,用于在所述第一判断单元的判断结果为匹配的情况下,确定对所述内容请求的校验成功;
第四确定单元,用于在所述第一判断单元的判断结果为不匹配的情况下,确定对所述内容请求的校验失败。
15.根据权利要求12所述的装置,其特征在于,所述请求校验模块包括:
第二判断单元,用于判断所述第一内容发布者标识与所述第二内容发布者标识是否相匹配;
第五确定单元,用于在所述第二判断单元的判断结果为匹配的情况下,确定对所述内容请求的校验成功;
第六确定单元,用于在所述第二判断单元的判断结果为不匹配的情况下,确定对所述内容请求的校验失败。
16.根据权利要求11所述的装置,其特征在于,所述第一请求处理模块包括:
缓存判断单元,用于根据所述内容标识,或者所述内容标识及所述内容发布者公钥,判断本地是否缓存所述内容请求所请求的内容;
处理单元,用于根据所述缓存判断单元的判断结果对所述内容请求进行相应处理。
17.根据权利要求16所述的装置,其特征在于,
所述缓存判断单元包括:缓存判断子单元,用于根据所述内容标识,或者所述内容标识及所述内容发布者公钥,查询缓存索引表,判断本地是否缓存所述内容请求所请求的内容;
所述处理单元包括:
内容返回子单元,用于在所述缓存判断单元的判断结果为是的情况下,向所述内容请求节点返回所述内容;
内容转发子单元,用于在所述缓存判断单元的判断结果为否的情况下,则根据所述内容标识,或者所述内容标识及所述内容发布者公钥,查询已发送请求的记录,判断本地是否向所述内容源节点地址请求所述内容;如果是,则接收所述内容源节点地址发送的所述内容,并将所述内容转发至所述内容请求节点,如果否,则将所述内容请求转发至所述内容源节点或下一个内容路由节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210245725.8A CN103546439B (zh) | 2012-07-16 | 2012-07-16 | 内容请求的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210245725.8A CN103546439B (zh) | 2012-07-16 | 2012-07-16 | 内容请求的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103546439A true CN103546439A (zh) | 2014-01-29 |
CN103546439B CN103546439B (zh) | 2019-01-11 |
Family
ID=49969495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210245725.8A Expired - Fee Related CN103546439B (zh) | 2012-07-16 | 2012-07-16 | 内容请求的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103546439B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105353976A (zh) * | 2015-10-21 | 2016-02-24 | 百度在线网络技术(北京)有限公司 | 一种获取缓存数据的方法和装置 |
CN105812347A (zh) * | 2015-01-21 | 2016-07-27 | 帕洛阿尔托研究中心公司 | 网络层应用特定的信任模型 |
CN108173866A (zh) * | 2017-12-29 | 2018-06-15 | 苏州麦迪斯顿医疗科技股份有限公司 | 胸痛中心认证数据的集成方法、装置、设备及存储介质 |
CN108599960A (zh) * | 2018-05-08 | 2018-09-28 | 厦门集微科技有限公司 | 一种信息获取方法及网络节点 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1397045A (zh) * | 2000-11-01 | 2003-02-12 | 索尼株式会社 | 内容分发系统和内容分发方法 |
CN101252590A (zh) * | 2008-03-31 | 2008-08-27 | 蓝汛网络科技(北京)有限公司 | 一种流媒体内容分发方法、系统及装置 |
CN102546579A (zh) * | 2010-12-31 | 2012-07-04 | 北大方正集团有限公司 | 一种提供系统资源的方法、装置及系统 |
-
2012
- 2012-07-16 CN CN201210245725.8A patent/CN103546439B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1397045A (zh) * | 2000-11-01 | 2003-02-12 | 索尼株式会社 | 内容分发系统和内容分发方法 |
CN101252590A (zh) * | 2008-03-31 | 2008-08-27 | 蓝汛网络科技(北京)有限公司 | 一种流媒体内容分发方法、系统及装置 |
CN102546579A (zh) * | 2010-12-31 | 2012-07-04 | 北大方正集团有限公司 | 一种提供系统资源的方法、装置及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812347A (zh) * | 2015-01-21 | 2016-07-27 | 帕洛阿尔托研究中心公司 | 网络层应用特定的信任模型 |
CN105812347B (zh) * | 2015-01-21 | 2021-01-08 | 思科技术公司 | 促进接收验证的内容对象的装置和方法 |
CN105353976A (zh) * | 2015-10-21 | 2016-02-24 | 百度在线网络技术(北京)有限公司 | 一种获取缓存数据的方法和装置 |
CN105353976B (zh) * | 2015-10-21 | 2018-09-07 | 百度在线网络技术(北京)有限公司 | 一种获取缓存数据的方法和装置 |
CN108173866A (zh) * | 2017-12-29 | 2018-06-15 | 苏州麦迪斯顿医疗科技股份有限公司 | 胸痛中心认证数据的集成方法、装置、设备及存储介质 |
CN108599960A (zh) * | 2018-05-08 | 2018-09-28 | 厦门集微科技有限公司 | 一种信息获取方法及网络节点 |
Also Published As
Publication number | Publication date |
---|---|
CN103546439B (zh) | 2019-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101534309B (zh) | 节点注册方法、路由更新方法、通讯系统以及相关设备 | |
CN100474851C (zh) | 对等网络名字解析协议的安全基础结构和方法 | |
AU2002340207B2 (en) | Verification of a person identifier received online | |
RU2385488C2 (ru) | Протокол разрешения имен для проводного соединения равноправных устройств и используемая в нем структура данных формата сообщения | |
US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
KR20130031660A (ko) | 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 이름 생성 방법, 그리고 인증 방법 | |
CN104160680B (zh) | 用于透明代理缓存的欺骗技术 | |
JP6756738B2 (ja) | 信頼できるログイン方法及び装置 | |
CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
KR20150145226A (ko) | 도메인들에 걸쳐 서비스 계층 리소스 전파 | |
CN107508822B (zh) | 访问控制方法及装置 | |
CN102356620A (zh) | 网络应用访问 | |
CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
CN101471878B (zh) | 对等会话起始协议网络的安全路由方法、网络系统及设备 | |
WO2015014215A1 (en) | Domain name resolution method, system and device | |
CN109067768B (zh) | 一种域名查询安全性的检测方法、系统、设备和介质 | |
CN103546439A (zh) | 内容请求的处理方法及装置 | |
KR20160021031A (ko) | 콘텐트 중심 네트워크를 통해 키 결정을 수행하기 위한 시스템 및 방법 | |
CN102231766A (zh) | 一种域名解析验证的方法及系统 | |
US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
US20120180125A1 (en) | Method and system for preventing domain name system cache poisoning attacks | |
JP2011049745A (ja) | Dnsキャッシュ・ポイズニング攻撃を防御する装置 | |
US20230111701A1 (en) | Secure keyboard resource limiting access of user input to destination resource requesting the user input | |
CN112202776A (zh) | 源站防护方法和网络设备 | |
US20060023727A1 (en) | Method and apparatus for anonymous data transfers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190111 Termination date: 20200716 |