CN105657474B - 在视频应用中使用基于身份签名体制的防盗链方法及系统 - Google Patents
在视频应用中使用基于身份签名体制的防盗链方法及系统 Download PDFInfo
- Publication number
- CN105657474B CN105657474B CN201610093973.3A CN201610093973A CN105657474B CN 105657474 B CN105657474 B CN 105657474B CN 201610093973 A CN201610093973 A CN 201610093973A CN 105657474 B CN105657474 B CN 105657474B
- Authority
- CN
- China
- Prior art keywords
- signature
- video
- identity
- video server
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26606—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/85—Assembly of content; Generation of multimedia applications
- H04N21/854—Content authoring
- H04N21/8547—Content authoring involving timestamps for synchronizing content
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明提供了一种在视频应用中基于身份签名体制的防盗链方法及系统,其中,所述防盗链方法包括:用户终端设备向视频服务器发送登录请求,登录请求包括鉴权凭证请求信息;视频服务器将鉴权凭证请求信息转发给可信服务器;可信服务器接收鉴权凭证请求信息后,根据用户终端设备的身份信息而计算得到鉴权凭证,并将鉴权凭证发送给视频服务器,由视频服务器将鉴权凭证发送给用户终端设备;用户终端设备根据鉴权凭证,使用基于身份签名体制的签名算法对播放请求生成签名,并将签名发送至视频服务器;视频服务器验证签名是有效签名后,将请求播放的视频发送给用户终端设备。本发明解决了现有的防盗链技术存在安全隐患等问题。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种在视频应用中使用基于身份签名体制的防盗链方法及系统。
背景技术
现有技术中的浏览器有一个重要的现象就是一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个HTTP请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的解释执行,发现其中还有图片,那么客户端的浏览器会再发送一条HTTP请求,当这个请求被处理后那么这个图片文件会被传送到客户端,然后浏览器会将图片安放到页面的正确位置,就这样一个完整的页面也许要经过发送多条HTTP请求才能够被完整的显示。基于这样的机制,就会产生盗链问题。所谓盗链问题,就是一个网站中如果没有起始页面中所说的信息,例如图片信息,那么它完全可以将这个图片的链接指向到别的网站。这样没有任何资源的网站可以利用了别的网站的资源来展示给浏览者,提高了自己的访问量,而大部分浏览者又不会很容易地发现。这样显然对于那个被利用了资源的网站是不公平的。一些不良网站为了不增加成本而扩充自己站点内容,经常盗用其他网站的链接。一方面损害了原网站的合法利益,另一方面又加重了服务器的负担。
目前业界常用的防盗链技术主要有基于Referer字段检测和使用消息认证码两种方式:第一种方式通过HTTP协议中的表头Referer字段来检测目标网页访问的来源网页,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的错误页面。Apache和微软的网页服务器IIS都支持这种防盗链方式。第二种方式使用哈希函数或者对称加密算法对访问请求生成消息认证码。服务器端使用与客户端相同的哈希函数或者对称加密算法生成消息认证码,并验证消息认证码的有效性,据此判断是否允许访问请求。
对于基于Referer的检测机制,盗链者可以通过配置访问请求的Referer表头字段伪装成来自合法的网页,便可以绕过防盗链检测机制。
对于基于消息认证码的防盗链机制,由于方案大部分不使用密钥保护,或者使用所有设备都一致的预设密钥,方案的安全性并不高。当一个设备上面的密钥泄漏时,由于所有设备共享相同的密钥,会导致其他设备的安全性也受到威胁。此时后台系统也无法根据鉴权信息选择性地拒绝某个设备的访问。
因此,现有的防盗链技术存在安全隐患。
发明内容
为克服现有技术所存在的缺陷,现提供一种在视频应用中使用基于身份签名体制的防盗链方法及系统,以解决现有的防盗链技术存在的安全隐患等问题。
为实现上述目的,一种在视频应用中使用基于身份签名体制的防盗链方法,包括:用户终端设备向视频服务器发送登录请求,所述登录请求包括鉴权凭证请求信息;所述视频服务器将所述鉴权凭证请求信息转发给可信服务器;所述可信服务器接收所述鉴权凭证请求信息后,根据所述用户终端设备的身份信息而计算得到鉴权凭证,并将所述鉴权凭证发送给所述视频服务器,由所述视频服务器将所述鉴权凭证发送给所述用户终端设备;所述用户终端设备根据所述鉴权凭证,基于身份签名体制的签名算法对待播放内容信息进行签名,并将所述签名发送至所述视频服务器;所述视频服务器验证所述签名是有效签名后,将请求播放的视频发送给所述用户终端设备。
本发明在视频应用中基于身份签名体制的防盗链方法的进一步改进在于,还包括:所述可信服务器生成基于身份签名的系统公钥和系统私钥;所述可信服务器将所述系统公钥发送给所述视频服务器。
本发明在视频应用中基于身份签名体制的防盗链方法的进一步改进在于,所述鉴权凭证请求信息包括所述用户终端设备的身份ID,所述鉴权凭证为所述身份ID对应的设备私钥;根据所述用户终端设备的身份信息而计算得到鉴权凭证,包括:根据所述身份ID和所述系统私钥计算出所述设备私钥。
本发明在视频应用中基于身份签名体制的防盗链方法的进一步改进在于,所述播放请求包括所述身份ID、当前时间戳以及待播放视频;所述视频服务器验证所述签名是有效签名后,将所述请求播放的视频发送给所述用户终端设备,具体包括:所述基于身份签名体制的VF算法验证所述签名是否为有效签名,并验证所述当前时间戳是否过期;当所述签名为有效签名且所述当前时间戳没有过期时,所述视频服务器将所述待播放视频发送给所述用户终端设备。
本发明在视频应用中基于身份签名体制的防盗链方法的进一步改进在于,所述登录请求还包括用户名和密码;所述视频服务器将所述鉴权凭证请求信息转发给可信服务器之前,还包括:所述视频服务器验证所述用户名和所述密码是否匹配;所述用户名和所述密码匹配成功后,所述视频服务器将所述鉴权凭证请求信息转发给可信服务器。
为实现上述目的,本发明还提供了一种在视频应用中基于身份签名体制的防盗链系统,包括通过网络建立通信连接的用户终端设备、视频服务器和可信服务器;所述用户终端设备用于向所述视频服务器发送登录请求,所述登录请求包括鉴权凭证请求信息;所述视频服务器用于将所述鉴权凭证请求信息转发给所述可信服务器;所述可信服务器用于在接收所述鉴权凭证请求信息后,根据所述用户终端设备的身份信息而计算得到鉴权凭证,并将所述鉴权凭证经由所述视频服务器而发送给所述用户终端设备以供所述用户终端设备根据所述鉴权凭证,基于身份签名体制的签名算法对待播放内容信息进行加密以形成签名,并将所述签名发送至所述视频服务器,由所述视频服务器还用于验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备。
本发明在视频应用中基于身份签名体制的防盗链系统的进一步改进在于,所述可信服务器还用于:生成基于身份签名的系统公钥和系统私钥;以及将所述系统公钥发送给所述视频服务器。
本发明在视频应用中基于身份签名体制的防盗链系统的进一步改进在于,所述鉴权凭证请求信息包括所述用户终端设备的身份ID,所述鉴权凭证为所述身份ID对应的ID私钥;所述可信服务器用于根据所述用户终端设备的身份信息而计算得到鉴权凭证,包括:根据所述身份ID和所述系统私钥计算出所述ID私钥。
本发明在视频应用中基于身份签名体制的防盗链系统的进一步改进在于,所述待播放内容信息包括所述身份ID、当前时间戳以及待播放视频;
所述视频服务器用于验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备,具体包括:基于所述身份签名体制的VF算法验证所述签名是否为有效签名,并验证所述当前时间戳是否过期;当所述签名为有效签名且所述当前时间戳没有过期时,将所述待播放视频发送给所述用户终端设备。
本发明在视频应用中基于身份签名体制的防盗链系统的进一步改进在于,所述登录请求还包括用户名和密码;所述视频服务器还用于:验证所述用户名和所述密码是否匹配;所述用户名和所述密码匹配成功后,将所述鉴权凭证请求信息转发给可信服务器。
本发明在视频应用中基于身份签名体制的防盗链方法及系统的有益效果在于,由于本发明上述方案不依赖于Referer检测,因此攻击者无法通过伪造Referer来进行盗链;另外,由于本发明采用的是可证明安全的基于身份签名体制,根据安全模型,一个设备上的私钥泄露不会影响到任何其他设备的安全性,解决了现有的防盗链技术存在安全隐患等问题。
附图说明
图1为本发明在视频应用中基于身份签名体制的防盗链方法于一实施例中的流程示意图。
图2为本发明在视频应用中基于身份签名体制的防盗链方法中验证所述签名是有效签名的细化步骤的流程示意图。
图3为本发明在视频应用中基于身份签名体制的防盗链系统于一实施例中的架构图。
元件标号说明
1 防盗链系统
10 用户终端设备
11 视频服务器
12 可信服务器
S1~S5 步骤
S501~S503 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
需要说明的是,本说明书所附图式所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语,亦仅为便于叙述的明了,而非用以限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当亦视为本发明可实施的范畴。
请参照图1,图1为本发明在视频应用中基于身份签名体制的防盗链方法于一实施例中的流程示意图。如图1所示,本发明提供了一种在视频应用中基于身份签名体制的防盗链方法,包括以下步骤:
步骤S1,用户终端设备向视频服务器发送登录请求,所述登录请求包括鉴权凭证请求信息;
所述用户终端设备可以是任何能够联网播放视频流的电子设备,包括但不限于笔记本电脑、平板电脑、智能手机、多媒体播放器、台式电脑等等,还可能包括其中两项或多项的组合。应当理解,本实施例中列举的所述用户终端设备只是电子设备的一个实例,该设备的组件可以具有更多或更少的组件,或具有不同的组件配置。各种组件可以用硬件、软件或软硬件的组合来实现,包括一个或多个信号处理和/或专用集成电路。以下以智能手机为实施例进行说明,用户使用所述智能手机登录视频网站或视频APP浏览视频时,所述视频服务器可以是所述视频网站对应的服务器,例如,用户使用所述智能手机登录土豆视频APP时,所述智能手机向土豆视频服务器发送登录请求,所述登录请求包括鉴权凭证请求信息。
步骤S2,所述视频服务器将所述鉴权凭证请求信息转发给可信服务器;
所述可信服务器(Key Generation Center,KGC)是以可信芯片为起点,为客户构建从硬件到软件、从底层到顶层的平台信任链的服务器。所述可信服务器在浏览器和服务器之间建立了SSL安全通道,实现数据传输的保密性和完整性,并验证网址身份的真实性,通过所述安装可信服务器可以解决网站访问中网络钓鱼、窃听、篡改等安全问题。所述智能手机向土豆视频服务器发送登录请求后,所述土豆视频服务器将所述鉴权凭证请求信息转发给土豆可信服务器。
进一步地,所述登录请求还包括用户名和密码;所述视频服务器将所述鉴权凭证请求信息转发给可信服务器之前,还包括:所述视频服务器验证所述用户名和所述密码是否匹配;所述用户名和所述密码匹配成功后,所述视频服务器将所述鉴权凭证请求信息转发给可信服务器。例如,用户使用所述智能手机登录土豆视频APP时,输入好土豆账号和密码后,所述智能手机向土豆视频服务器发送土豆账号、密码和所述鉴权凭证请求信息,所述土豆视频服务器首先验证土豆账号和密码是否匹配,当所述土豆视频服务器验证所述土豆账号和密码匹配后,才将所述鉴权凭证请求信息转发给土豆可信服务器;当所述土豆视频服务器验证所述土豆账号和密码匹配不成功时,所述土豆视频服务器禁止将所述鉴权凭证请求信息转发给土豆可信服务器,并返回给所述智能手机一提示信息,提示用户所述土豆账号或所述密码输入错误。
步骤S3,所述可信服务器接收所述鉴权凭证请求信息后,根据所述用户终端设备的身份信息而计算得到鉴权凭证,并将所述鉴权凭证发送给所述视频服务器,由所述视频服务器将所述鉴权凭证发送给所述用户终端设备;
其中,所述鉴权凭证请求信息包括所述用户终端设备的身份ID,基于身份签名体制(Identity-based signatures,IBS)的特点,所述身份ID就是所述用户终端设备的公钥,所述身份ID可以是设备号,账户名,电话号码,邮件地址等,所述鉴权凭证为所述身份ID对应的ID私钥。
进一步地,所述在视频应用中基于身份签名体制的防盗链方法还包括一初始设置过程,所述初始设置过程包括:所述可信服务器通过概率算法生成基于身份签名的系统公钥和系统私钥;所述可信服务器将所述系统公钥发送给所述视频服务器。较佳地,所述可信服务器接收所述鉴权凭证请求信息后,将所述系统公钥发送给所述视频服务器。
进一步地,所述可信服务器根据所述用户终端设备的身份信息而计算得到鉴权凭证,包括:根据所述身份ID和所述系统私钥计算出所述ID私钥。所述可信服务器可以利用所述身份ID和所述系统私钥通过概率算法算出所述身份ID对应的所述ID私钥。所述可信服务器计算出所述ID私钥后,将所述ID私钥发送给所述视频服务器,并由所述视频服务器将所述ID私钥发送给所述用户终端设备。例如,土豆可信服务器接收到所述土豆视频服务器发送的所述鉴权凭证请求信息后,所述土豆可信服务器根据用户的土豆账号和所述系统私钥,通过算出所述土豆账号对应的土豆账号私钥,然后将所述土豆账号私钥发送给所述土豆视频服务器,所述土豆视频服务器再将所述土豆视频服务器发送给所述智能手机。
步骤S4,所述用户终端设备根据所述鉴权凭证,基于身份签名体制的签名算法对待播放内容信息进行加密以形成签名,并将所述签名发送至所述视频服务器;
其中,所述待播放内容信息包括所述身份ID、当前时间戳以及待播放视频,所述当前时间戳可以为所述用户终端设备为请求播放待播放视频的时间,也可以是形成签名的时间,所述待播放视频为用户想要观看的视频。所述用户终端设备根据所述ID私钥,基于身份签名体制的签名算法,该签名算法也是一种概率算法,通过该签名算法对待播放内容信息进行加密以形成签名,然后,将所述签名发送至所述视频服务器。例如,用户使用所述智能手机登陆上土豆视频APP后,点击想要观看的视频《舌尖上的中国》,所述身份ID可以为用户的土豆账号,当前时间戳为用户点击视频《舌尖上的中国》的当前时间,待播放视频即《舌尖上的中国》,所述待播放内容信息即包括土豆账号、用户点击视频《舌尖上的中国》的当前时间和视频《舌尖上的中国》,所述智能手机利用基于身份签名体制的签名算法将所述待播放内容信息加密以形成签名,然后,将所述签名发送至土豆视频服务器。
步骤S5,所述视频服务器验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备。
其中,所述视频服务器验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备可进一步划分为如图2所示的细化步骤的流程示意图。如图2所示,所述视频服务器验证所述签名是有效签名,包括:
步骤S501,基于所述身份签名体制的VF算法验证所述签名是否为有效签名;
其中,所述VF算法是一种确定算法,签名体制的安全性需求主要是不可伪造,当通过所述VF算法验证所述签名不是有效签名时,所述视频服务器禁止将所述待播放视频发送给所述用户终端设备;当通过所述VF算法验证所述签名是有效签名时,则执行步骤S502。
步骤S502,验证所述当前时间戳是否过期;
验证所述当前时间戳是否过期是指从所述用户终端设备形成签名的时间到发送所述视频服务器接收到所述签名的时间,这中间的间隔时间段是否超过一预定时间长度,该预定时间长度可以是3分钟,也可以是5分钟等等。当所述间隔时间段超过所述预定时间长度时,则判定所述当前时间戳过期,所述视频服务器禁止将所述待播放视频发送给所述用户终端设备;当验证所述当前时间戳没有过期时,则执行步骤S503。
步骤S503,当所述签名为有效签名且所述当前时间戳没有过期时,所述视频服务器将所述待播放视频发送给所述用户终端设备。
只有当所述签名是有效签名,且所述当前时间戳没有过期时,所述视频服务器禁才将所述待播放视频发送给所述用户终端设备。例如,所述智能手机将所述签名发送至所述土豆视频服务器后,所述土豆视频服务器通过所述VF算法验证所述签名是不是有效签名,当验证所述签名不是有效签名时,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当验证所述签名是有效签名后,验证用户点击视频《舌尖上的中国》的时间距离现在当前时间是否超过3分钟,超过3分钟,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当没有超过3分钟时,且验证所述签名是有效签名,所述土豆视频服务器将视频《舌尖上的中国》发送给所述智能手机,供用户观看。
以下以智能手机为例进行完整的说明,所述智能手机安装有土豆视频APP,所述视频服务器为土豆视频服务器,所述可信服务器为土豆可信服务器,所述身份ID为用户的土豆账号。首先,所述土豆可信服务器进行初始设置,所述土豆可信服务器通过概率算法生成基于身份签名的系统公钥和系统私钥;然后,所述土豆可信服务器将所述系统公钥发送给所述土豆视频服务器;接着,当用户打开所述智能手机上的土豆视频APP,并通过输入所述土豆账号和密码登陆时,所述智能手机向土豆视频服务器发送登录请求,该登录请求包括所述土豆账号、密码和鉴权凭证请求信息;然后,所述土豆视频服务器验证土豆账号和密码是否匹配,当所述土豆视频服务器验证所述土豆账号和密码匹配不成功时,所述土豆视频服务器禁止将所述鉴权凭证请求信息转发给土豆可信服务器,并返回给所述智能手机一提示信息,提示用户所述土豆账号或所述密码输入错误;当所述土豆视频服务器验证所述土豆账号和密码匹配后,将所述鉴权凭证请求信息转发给所述土豆可信服务器;接着,土豆可信服务器接收到所述土豆视频服务器发送的所述鉴权凭证请求信息后,所述土豆可信服务器根据用户的土豆账号和所述系统私钥,通过算出所述土豆账号对应的土豆账号私钥,然后将所述土豆账号私钥发送给所述土豆视频服务器,所述土豆视频服务器再将所述土豆视频服务器发送给所述智能手机;然后,用户在土豆视频APP界面上点击想要观看的视频《舌尖上的中国》时,所述智能手机利用基于身份签名体制的签名算法将所述土豆账号、用户点击视频《舌尖上的中国》的当前时间以及视频《舌尖上的中国》组成的待播放内容信息加密以形成签名,然后,将所述签名发送至土豆视频服务器;接着,所述土豆视频服务器通过所述VF算法验证所述签名是不是有效签名,当验证所述签名不是有效签名时,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当验证所述签名是有效签名后,验证用户点击视频《舌尖上的中国》的时间距离现在当前时间是否超过3分钟,超过3分钟,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当没有超过3分钟时,且验证所述签名是有效签名,所述土豆视频服务器将视频《舌尖上的中国》发送给所述智能手机,供用户观看。
基于同一发明构思,请参阅图3,图3为本发明在视频应用中基于身份签名体制的防盗链系统于一实施例中的架构图。如图3所示,本发明还提供了一种在视频应用中基于身份签名体制的防盗链系统1,包括:通过网络建立通信连接的用户终端设备10、视频服务器11和可信服务器12。如图3所示,用户终端设备10可以是通过云网络连接于视频服务器11,视频服务器11通过云网络连接于可信服务器12,当然,在其它的实施例中,用户终端设备10也可以通过3G或4G等手机信号连接于视频服务器11,视频服务器11通过云网络连接于可信服务器12。所述用户终端设备10用于向所述视频服务器11发送登录请求,所述登录请求包括鉴权凭证请求信息;所述视频服务器11用于将所述鉴权凭证请求信息转发给所述可信服务器12;所述可信服务器12用于在接收所述鉴权凭证请求信息后,根据所述用户终端设备10的身份信息而计算得到鉴权凭证,并将所述鉴权凭证经由所述视频服务器11而发送给所述用户终端设备10以供所述用户终端设备10根据所述鉴权凭证,基于身份签名体制的签名算法对待播放内容信息进行加密以形成签名,并将所述签名发送至所述视频服务器11,由所述视频服务器11还用于验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备10。
以下对上述组件进行详细说明。
所述用户终端设备10可以是任何能够联网播放视频流的电子设备,包括但不限于笔记本电脑、平板电脑、智能手机、多媒体播放器、台式电脑等等,还可能包括其中两项或多项的组合。应当理解,本实施例中列举的所述用户终端设备只是电子设备的一个实例,该设备的组件可以具有更多或更少的组件,或具有不同的组件配置。各种组件可以用硬件、软件或软硬件的组合来实现,包括一个或多个信号处理和/或专用集成电路。以下以智能手机为实施例进行说明,用户使用所述智能手机登录视频网站或视频APP浏览视频时,所述视频服务器11可以是所述视频网站对应的服务器,例如,用户使用所述智能手机登录土豆视频APP时,所述智能手机向土豆视频服务器发送登录请求,所述登录请求包括鉴权凭证请求信息。
所述可信服务器12(Key Generation Center,KGC)是以可信芯片为起点,为客户构建从硬件到软件、从底层到顶层的平台信任链的服务器。所述可信服务器在浏览器和服务器之间建立了SSL安全通道,实现数据传输的保密性和完整性,并验证网址身份的真实性,通过所述安装可信服务器可以解决网站访问中网络钓鱼、窃听、篡改等安全问题。所述智能手机向土豆视频服务器发送登录请求后,所述土豆视频服务器将所述鉴权凭证请求信息转发给土豆可信服务器。进一步地,所述可信服务器12还用于:通过概率算法生成基于身份签名的系统公钥和系统私钥;以及将所述系统公钥发送给所述视频服务器11。较佳地,所述可信服务器12接收所述鉴权凭证请求信息后,将所述系统公钥发送给所述视频服务器11。
进一步地,所述登录请求还包括用户名和密码;所述视频服务器11将所述鉴权凭证请求信息转发给可信服务器12之前,还用于:验证所述用户名和所述密码是否匹配;所述用户名和所述密码匹配成功后,所述视频服务器11将所述鉴权凭证请求信息转发给可信服务器12。例如,用户使用所述智能手机登录土豆视频APP时,输入好土豆账号和密码后,所述智能手机向土豆视频服务器发送土豆账号、密码和所述鉴权凭证请求信息,所述土豆视频服务器首先验证土豆账号和密码是否匹配,当所述土豆视频服务器验证所述土豆账号和密码匹配后,才将所述鉴权凭证请求信息转发给土豆可信服务器;当所述土豆视频服务器验证所述土豆账号和密码匹配不成功时,所述土豆视频服务器禁止将所述鉴权凭证请求信息转发给土豆可信服务器,并返回给所述智能手机一提示信息,提示用户所述土豆账号或所述密码输入错误。
进一步地,所述鉴权凭证请求信息包括所述用户终端设备的身份ID,基于身份签名体制(Identity-based signatures,IBS)的特点,所述身份ID就是所述用户终端设备的公钥,所述身份ID可以是设备号,账户名,电话号码,邮件地址等,所述鉴权凭证为所述身份ID对应的ID私钥。所述可信服务器12用于根据所述用户终端设备10的身份信息而计算得到鉴权凭证,具体包括:根据所述身份ID和所述系统私钥计算出所述ID私钥。所述可信服务器12可以利用所述身份ID和所述系统私钥通过概率算法算出所述身份ID对应的所述ID私钥。所述可信服务器12计算出所述ID私钥后,将所述ID私钥发送给所述视频服务器11,并由所述视频服务器11将所述ID私钥发送给所述用户终端设备10。例如,土豆可信服务器接收到所述土豆视频服务器发送的所述鉴权凭证请求信息后,所述土豆可信服务器根据用户的土豆账号和所述系统私钥,通过算出所述土豆账号对应的土豆账号私钥,然后将所述土豆账号私钥发送给所述土豆视频服务器,所述土豆视频服务器再将所述土豆视频服务器发送给所述智能手机。
进一步地,所述待播放内容信息包括所述身份ID、当前时间戳以及待播放视频,所述当前时间戳可以为所述用户终端设备10为请求播放待播放视频的时间,也可以是形成签名的时间,所述待播放视频为用户想要观看的视频。所述用户终端设备10根据所述ID私钥,基于身份签名体制的签名算法,该签名算法也是一种概率算法,通过该签名算法对待播放内容信息进行加密以形成签名,然后,将所述签名发送至所述视频服务器11。例如,用户使用所述智能手机登陆上土豆视频APP后,点击想要观看的视频《舌尖上的中国》,所述身份ID可以为用户的土豆账号,当前时间戳为用户点击视频《舌尖上的中国》的当前时间,待播放视频即《舌尖上的中国》,所述待播放内容信息即包括土豆账号、用户点击视频《舌尖上的中国》的当前时间和视频《舌尖上的中国》,所述智能手机利用基于身份签名体制的签名算法将所述待播放内容信息加密以形成签名,然后,将所述签名发送至土豆视频服务器。
进一步地,所所述视频服务器11用于验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备10,具体包括:基于所述身份签名体制的VF算法验证所述签名是否为有效签名;验证所述当前时间戳是否过期;当所述签名为有效签名且所述当前时间戳没有过期时,所述视频服务器11将所述待播放视频发送给所述用户终端设备10。
其中,所述VF算法是一种确定算法,签名体制的安全性需求主要是不可伪造,当通过所述VF算法验证所述签名不是有效签名时,所述视频服务器11禁止将所述待播放视频发送给所述用户终端设备10。
验证所述当前时间戳是否过期是指从所述用户终端设备10形成签名的时间到发送所述视频服务器11接收到所述签名的时间,这中间的间隔时间段是否超过一预定时间长度,该预定时间长度可以是3分钟,也可以是5分钟等等。当所述间隔时间段超过所述预定时间长度时,则判定所述当前时间戳过期,所述视频服务器11禁止将所述待播放视频发送给所述用户终端设备10。
只有当所述签名是有效签名,且所述当前时间戳没有过期时,所述视频服务器11禁才将所述待播放视频发送给所述用户终端设备10。例如,所述智能手机将所述签名发送至所述土豆视频服务器后,所述土豆视频服务器通过所述VF算法验证所述签名是不是有效签名,当验证所述签名不是有效签名时,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当验证所述签名是有效签名后,验证用户点击视频《舌尖上的中国》的时间距离现在当前时间是否超过3分钟,超过3分钟,所述土豆视频服务器禁止将视频《舌尖上的中国》发送给所述智能手机;当没有超过3分钟时,且验证所述签名是有效签名,所述土豆视频服务器将视频《舌尖上的中国》发送给所述智能手机,供用户观看。
综上所述,本发明的核心是基于身份签名体制的密码学工具,由于本发明上述方案不依赖于Referer检测,因此攻击者无法通过伪造Referer来进行盗链;另外,由于本发明采用的是可证明安全的基于身份签名体制,根据安全模型,一个设备上的私钥泄露不会影响到任何其他设备的安全性,因此,解决了现有的防盗链技术存在安全隐患等问题。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
本发明基于身份签名体制的防盗链方法及防盗链系统有如下优点:
1)可扩展性:在对每个设备认证的同时不需要维护大量的公钥证书和共享密钥,只需要维护基于身份签名体制的系统公钥以及账户对应的播放权限;
2)易部署:基于与1)相同的原因,在视频服务器上部署也比较容易;
3)设备相互独立:由于为每个设备颁发的都是该设备唯一的私钥。即使某个设备的私钥泄露,也不会影响其他设备的安全性。
以上结合附图实施例对本发明进行了详细说明,本领域中普通技术人员可根据上述说明对本发明做出种种变化例。因而,实施例中的某些细节不应构成对本发明的限定,本发明将以所附权利要求书界定的范围作为保护范围。
Claims (6)
1.一种在视频应用中使用基于身份签名体制的防盗链方法,其特征在于,包括:
用户终端设备向视频服务器发送登录请求,所述登录请求包括用户名、密码和鉴权凭证请求信息;所述鉴权凭证请求信息包括所述用户终端设备的身份ID;
所述视频服务器验证所述用户名和所述密码是否匹配;
所述用户名和所述密码匹配成功后,所述视频服务器将所述鉴权凭证请求信息转发给可信服务器;
所述可信服务器接收所述鉴权凭证请求信息后,首先通过概率算法生成基于身份签名的系统公钥和系统私钥,然后根据所述身份ID和所述系统私钥通过概率算法计算得到鉴权凭证,并将所述鉴权凭证发送给所述视频服务器,由所述视频服务器将所述鉴权凭证发送给所述用户终端设备;
所述用户终端设备根据所述鉴权凭证,使用基于身份签名体制的签名算法对播放请求生成签名,并将所述签名发送至所述视频服务器;
所述视频服务器验证所述签名是有效签名后,将所述请求播放的视频发送给所述用户终端设备。
2.根据权利要求1所述的在视频应用中使用基于身份签名体制的防盗链方法,其特征在于,还包括:
所述可信服务器将所述系统公钥发送给所述视频服务器。
3.根据权利要求2所述的在视频应用中使用基于身份签名体制的防盗链方法,其特征在于,所述播放请求包括所述身份ID、当前时间戳以及待播放视频地址;
所述视频服务器验证所述签名是有效签名后,将所述待播放的视频发送给所述用户终端设备,具体包括:
使用所述基于身份签名体制的VF算法验证所述签名是否为有效签名,并验证所述当前时间戳是否过期;
当所述签名为有效签名且所述当前时间戳没有过期时,所述视频服务器将所述待播放视频发送给所述用户终端设备。
4.一种在视频应用中使用基于身份签名体制的防盗链系统,其特征在于,包括通过网络建立通信连接的用户终端设备、视频服务器和可信服务器;
所述用户终端设备用于向所述视频服务器发送登录请求,所述登录请求包括用户名、密码和鉴权凭证请求信息;所述鉴权凭证请求信息包括所述用户终端设备的设备ID;
所述视频服务器用于验证所述用户名和所述密码是否匹配,并所述用户名和所述密码匹配成功后,将所述鉴权凭证请求信息转发给所述可信服务器;所述可信服务器用于在接收所述鉴权凭证请求信息后,首先通过概率算法生成基于身份签名的系统公钥和系统私钥,然后根据所述身份ID和系统私钥通过概率算法计算得到鉴权凭证,并将所述鉴权凭证经由所述视频服务器而发送给所述用户终端设备以供所述用户终端设备根据所述鉴权凭证,基于身份签名体制的签名算法对待播放内容信息进行加密以形成签名,并将所述签名发送至所述视频服务器,由所述视频服务器还用于验证所述签名是有效签名后,将所述待播放内容信息中请求播放的视频发送给所述用户终端设备。
5.根据权利要求4所述的在视频应用中使用基于身份签名体制的防盗链系统,其特征在于,所述可信服务器还用于:
将所述系统公钥发送给所述视频服务器。
6.根据权利要求5所述的在视频应用中使用基于身份签名体制的防盗链系统,其特征在于,所述播放请求包括所述身份ID、当前时间戳以及待播放视频;所述视频服务器用于验证所述签名是有效签名后,将所述播放请求中请求播放的视频发送给所述用户终端设备,具体包括:
基于所述身份签名体制的VF算法验证所述签名是否为有效签名,并验证所述当前时间戳是否过期;
当所述签名为有效签名且所述当前时间戳没有过期时,将所述待播放视频发送给所述用户终端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610093973.3A CN105657474B (zh) | 2016-02-19 | 2016-02-19 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610093973.3A CN105657474B (zh) | 2016-02-19 | 2016-02-19 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105657474A CN105657474A (zh) | 2016-06-08 |
| CN105657474B true CN105657474B (zh) | 2019-04-26 |
Family
ID=56488545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610093973.3A Expired - Fee Related CN105657474B (zh) | 2016-02-19 | 2016-02-19 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105657474B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483407B (zh) * | 2017-07-18 | 2020-09-08 | 成都视达科信息技术有限公司 | 一种防盗链的方法和系统 |
| CN109413000B (zh) * | 2017-08-15 | 2021-06-18 | 刘其星 | 一种防盗链方法及防盗链网关系统 |
| CN107801059B (zh) * | 2017-09-26 | 2018-09-04 | 武汉斗鱼网络科技有限公司 | 一种鉴权方法及服务器 |
| CN107809672A (zh) * | 2017-10-10 | 2018-03-16 | 武汉斗鱼网络科技有限公司 | 检测应用安装包二次打包的方法、存储介质、设备及系统 |
| CN110011950B (zh) * | 2018-01-04 | 2021-11-09 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
| CN108322469B (zh) * | 2018-02-05 | 2019-07-19 | 北京百度网讯科技有限公司 | 信息处理系统、方法和装置 |
| CN111030805B (zh) * | 2019-10-31 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种防盗链的方法及装置 |
| CN114449513A (zh) * | 2020-10-16 | 2022-05-06 | 中移(上海)信息通信科技有限公司 | 路侧设备的鉴权方法、装置、设备及计算机存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114900A (zh) * | 2006-07-27 | 2008-01-30 | 上海贝尔阿尔卡特股份有限公司 | 一种组播业务认证方法及其装置、系统 |
| CN101350710A (zh) * | 2007-07-16 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、权限颁发服务器、权限颁发及执行的方法 |
| CN101951318A (zh) * | 2010-09-07 | 2011-01-19 | 南京大学 | 一种双向的移动流媒体数字版权保护方法及系统 |
| CN102572610A (zh) * | 2012-02-10 | 2012-07-11 | 中国联合网络通信集团有限公司 | 视频业务统一控制系统及方法 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN103957436A (zh) * | 2014-05-13 | 2014-07-30 | 北京清源新创科技有限公司 | 一种基于ott业务的视频防盗链方法 |
| CN104284213A (zh) * | 2014-09-26 | 2015-01-14 | 深圳市同洲电子股份有限公司 | 一种防盗链方法、客户端以及系统 |
| CN104284215A (zh) * | 2014-09-26 | 2015-01-14 | 北京奇艺世纪科技有限公司 | 一种视频请求的处理方法和装置 |
| CN105262748A (zh) * | 2015-10-19 | 2016-01-20 | 北京东方棱镜科技有限公司 | 广域网中对用户终端进行身份认证的方法和系统 |
-
2016
- 2016-02-19 CN CN201610093973.3A patent/CN105657474B/zh not_active Expired - Fee Related
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114900A (zh) * | 2006-07-27 | 2008-01-30 | 上海贝尔阿尔卡特股份有限公司 | 一种组播业务认证方法及其装置、系统 |
| CN101350710A (zh) * | 2007-07-16 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、权限颁发服务器、权限颁发及执行的方法 |
| CN101951318A (zh) * | 2010-09-07 | 2011-01-19 | 南京大学 | 一种双向的移动流媒体数字版权保护方法及系统 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN102572610A (zh) * | 2012-02-10 | 2012-07-11 | 中国联合网络通信集团有限公司 | 视频业务统一控制系统及方法 |
| CN103957436A (zh) * | 2014-05-13 | 2014-07-30 | 北京清源新创科技有限公司 | 一种基于ott业务的视频防盗链方法 |
| CN104284213A (zh) * | 2014-09-26 | 2015-01-14 | 深圳市同洲电子股份有限公司 | 一种防盗链方法、客户端以及系统 |
| CN104284215A (zh) * | 2014-09-26 | 2015-01-14 | 北京奇艺世纪科技有限公司 | 一种视频请求的处理方法和装置 |
| CN105262748A (zh) * | 2015-10-19 | 2016-01-20 | 北京东方棱镜科技有限公司 | 广域网中对用户终端进行身份认证的方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于加密接入令牌的IGMP安全机制;刘利;《小型微型计算机系统》;20041221;第25卷(第12期);2186-2189 |
| 基于改进Kerberos协议的单点登录系统研究与实现;刘铮;《中国优秀硕士学位论文全文数据库》;20101231;第3章第3.2-3.3、3.5节、第4章第4.3节及图3.1-3.2、3.5、4.1-4.2 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105657474A (zh) | 2016-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105657474B (zh) | 在视频应用中使用基于身份签名体制的防盗链方法及系统 | |
| CN111212095B (zh) | 一种身份信息的认证方法、服务器、客户端及系统 | |
| US9537861B2 (en) | Method of mutual verification between a client and a server | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US8245030B2 (en) | Method for authenticating online transactions using a browser | |
| EP4016920A1 (en) | Confidential authentication and provisioning | |
| CN111901346B (zh) | 一种身份认证系统 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| US20160381001A1 (en) | Method and apparatus for identity authentication between systems | |
| US20170070353A1 (en) | Method of managing credentials in a server and a client system | |
| CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
| KR20120055728A (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| KR101879758B1 (ko) | 사용자 단말기별 사용자 디지털 인증서 발급 방법 및 그 인증서에 의한 인증 방법 | |
| CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
| CN106998316A (zh) | 一种鉴权方法、应用客户端及网关设备 | |
| Alzuwaini et al. | An Efficient Mechanism to Prevent the Phishing Attacks. | |
| CN110519304A (zh) | 基于tee的https双向认证方法 | |
| Alizai et al. | Key-based cookie-less session management framework for application layer security | |
| KR102049527B1 (ko) | 사용자 인증 서버 및 시스템 | |
| CN112653676B (zh) | 一种跨认证系统的身份认证方法和设备 | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| Diaz et al. | On securing online registration protocols: Formal verification of a new proposal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190426 Termination date: 20200219 |