CN106134155B - 与覆盖网络相关的方法 - Google Patents
与覆盖网络相关的方法 Download PDFInfo
- Publication number
- CN106134155B CN106134155B CN201580016837.8A CN201580016837A CN106134155B CN 106134155 B CN106134155 B CN 106134155B CN 201580016837 A CN201580016837 A CN 201580016837A CN 106134155 B CN106134155 B CN 106134155B
- Authority
- CN
- China
- Prior art keywords
- service provider
- acceleration server
- assertion
- request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种在覆盖网络的加速服务器处操作的流量加载方法。其在该服务器接收由身份提供者(IdP)生成的断言时在加速服务器处开始,该IdP在从服务提供商(SP)接收到认证请求之后已经生成断言,该SP在从客户端接收到关于受保护资源的请求之后已经生成认证请求。加速服务器接收断言并将其转发到SP,该SP验证断言并向加速服务器返回令牌连同受保护资源。加速服务器随后将响应返回给发送请求的客户端,该响应包括指向回到加速服务器而不是SP的受保护资源的版本。当加速服务器随后从客户端接收附加请求时,加速服务器使用覆盖网络优化来与服务提供商交互。
Description
技术领域
本申请大体上涉及覆盖联网,并且特别涉及用于通过诸如内容分发网络的覆盖网络分发的加载流量的技术。
相关技术简述
分布式计算机系统在现有技术中是众所周知的。一个这样的分布式计算机系统是“内容分发网络”或“CDN”,其由服务提供商操作和管理。服务提供商通常代表第三方(客户)提供内容分发服务,该第三方使用服务提供商的基础设施。这种类型的分布式系统通常指的是通过一个网络或多个网络连接的自主计算机连同软件、系统、协议以及设计为便于各种服务(如内容分发、web应用加速或外包的源站点基础设施的其他支持)的技术的集合。CDN服务提供商通常通过数字化财产(诸如网站)来提供服务分发,其在客户门户中被供应并随后被部署到网络。数字化财产通常绑定到一个或多个边缘配置,其允许服务提供商计算流量并给其客户开账单。
为了诸如以上所述的内容分布网络有效运作并且是高性能的,该内容分布网络必须在终端用户和源服务器之间的“路径中”。传统上,这已经利用一些技术得以实现,主要是DNS名称解析(例如,通过CNAME、地理定位、选播等的分层DNS别名使用)。
概要
本公开描述了加载流量到CDN中的一种新的方法。
本文中的方法提供了用于通过带外安全认证器(诸如基于SAML 2.0的身份提供商方案)加速到覆盖(诸如内容分发网络(CDN))的流量加载。
在一个实施例中,流量加载方法操作在覆盖网络的加速服务器(例如,边缘服务器)处。其在该服务器接收由身份提供者(IdP)生成的断言时在加速服务器处开始,该IdP在从服务提供商(SP)接收到认证请求之后已经生成断言,该SP在从客户端接收到关于受保护资源的请求之后已经生成认证请求。加速服务器接收断言并将其转发到SP,该SP验证断言并向加速服务器返回令牌连同受保护资源。加速服务器随后将响应返回给发送请求的客户端,该响应包括指向回到加速服务器而不是SP的受保护资源的版本。当加速服务器随后从客户端接收附加请求时,加速服务器优选使用覆盖网络优化来与服务提供商交互。
该方法避免了传统的CDN流量加载(诸如通过DNS),且其不需要服务提供商和加速服务器(即,CDN)保持任何关系。因此,加速服务器不需要具有匹配服务提供商的域名的任何凭证和加密密钥。
本公开提供了以下内容:
1).一种在覆盖网络的加速服务器处操作的方法,包括:
接收断言,所述断言在由身份提供者从服务提供商接收到认证请求之后已经通过所述身份提供者生成,所述认证请求响应于在所述服务提供商处接收到关于受保护资源的请求已经通过所述服务提供商生成,关于所述受保护资源的所述请求已经从发送请求的客户端被接收到;
将所述断言转发给所述服务提供商;
接收令牌,所述令牌在所述断言的验证之后已经通过所述服务提供商生成,所述令牌伴随有所述受保护资源;
将响应返回给所述发送请求的客户端,所述响应操作以使来自所述发送请求的客户端的一个或多个附加请求将被定向到所述加速服务器或相关联的加速服务器,而不是直接被定向到所述服务提供商;以及
对于来自所述发送请求的客户端的至少一个这样的附加请求,执行在接收所述附加请求的所述加速服务器和所述服务提供商之间的覆盖网络优化。
2).根据1)所述的方法,其中,所述身份提供者提供以下认证服务中的一个:SAML、Liberty、Shibboleth、OpenID、OAuth、WS-Trust以及WS-Federation。
3).根据1)所述的方法,其中,所述身份提供者和所述服务提供商在联合中操作。
4).根据1)所述的方法,还包括:
储存所述令牌;
生成新的令牌;
将所述响应和所述新的令牌返回给所述发送请求的客户端。
5).根据1)所述的方法,其中,返回到所述发送请求的客户端的所述响应是所述受保护资源的修改版本。
6).根据5)所述的方法,其中,所述受保护资源的所述修改版本包括至少一个URL,所述至少一个URL具有指向所述加速服务器而不是所述服务提供商的相关联的引用。
7).一种与覆盖网络相关联的装置,包括:
处理器;以及
计算机存储器,所述计算机存储器保存作为带外安全认证器操作的计算机程序指令,所述带外安全认证器在客户端向服务提供商请求受保护资源的事务期间操作以加载流量到所述覆盖网络,而不需要在所述覆盖网络的提供商和所述服务提供商之间的预建立的关系。
8).一种使服务提供商能够加载到覆盖网络的方法,所述方法无需所述服务提供商修改其DNS记录以指向所述覆盖网络,或使由所述服务提供商使用以保护一个或多个资源的服务提供商凭证和加密密钥在所述覆盖网络中可用,所述方法包括:
配置加速服务器作为带外安全认证器;
在所述加速服务器处接收由身份提供者生成的断言,所述身份提供者在从所述服务提供商接收到认证请求时已经生成所述断言,所述服务提供商在从客户端接收到关于受保护资源的请求时已经生成所述认证请求;
将来自所述加速服务器的所述断言转发到所述服务提供商;
在所述加速服务器处接收所述受保护资源;
从所述加速服务器提供所述受保护资源的版本,所述版本包括使来自所述客户端的附加请求被定向到所述覆盖网络而不是所述服务提供商的信息;以及
在所述覆盖网络中接收并服务所述附加请求。
9).根据8)所述的方法,其中,服务所述附加请求包括所述加速服务器在通信路径上前进到所述服务提供商,所述通信路径根据一个或多个覆盖网络优化而被优化。
10).根据8)所述的方法,其中,所述断言为基于SAML的断言。
11).根据8)所述的方法,其中,所述受保护资源在所述加速服务器处被接收,所述加速服务器响应于所述服务提供商验证所述断言来接收所述受保护资源。
12).根据8)所述的方法,其中,所述加速服务器是内容分发网络(CDN)边缘服务器。
13).根据1)所述的方法,其中,所述加速服务器还用作身份提供者。
上述已经概述了所公开的主题的更相关的特征中的一些。这些特征应被解释为仅是说明性的。许多其他有益的结果可通过以不同的方式应用所公开的主题或通过修改将要进行描述的主题来实现。
附图简述
为了更全面理解本发明及其优点,现在结合附图进行下面的描述,其中:
图1是图示了被配置为内容分发网络(CDN)的已知分布式计算机系统的框图;
图2是代表性的CDN边缘机器配置;以及
图3图示了用于使用带外认证器进行认证的典型的身份提供者-服务提供商流;以及
图4图示了根据本公开的技术的对图3中的身份提供者-服务提供商流的修改。
详细描述
图1图示了已知的分布式计算机系统,其(如以下所描述的)通过本文中的技术来扩展以提供单个的基于HTTP的平台,其具有将在广播听众规模处的在线HD视频分发到最流行的运行时间环境以及在固定线路和移动环境两者中分发到最新设备的能力。
在如图1中所示的已知系统中,分布式计算机系统100被配置为CDN,并被假定具有在互联网上分布的一组机器102。通常情况下,大多数机器是位于互联网边缘附近(即,接入网络的终端处或附近)的服务器。网络操作命令中心(NOCC)104管理系统中的各个机器的操作。诸如网站的第三方站点将内容的分发(例如,HTML、嵌入式页面对象、流媒体、软件下载等)卸载到分布式计算机系统100,并且特别是卸载到“边缘”服务器。通常情况下,内容提供商通过别名使用(aliasing)(例如,通过DNS CNAME)给定的内容提供商域或子域来将他们的内容分发卸载到由服务提供商的权威域名服务所管理的域。期望内容的终端用户被指向分布式计算机系统以更可靠且有效地获得该内容。虽然未详细示出,但分布式计算机系统还可包括其他基础设施,如分布式数据收集系统108,其从边缘服务器收集使用数据和其他数据、集合跨区域或一组区域的该数据以及将该数据传到其他后端系统110、112、114和116,以便于监控、记录、警报、计费、管理以及其他操作和管理功能。分布式网络代理118监控网络以及服务器负载,并向DNS查询处理机制115提供网络、流量以及负载数据,该DNS查询处理机制115对于由CDN管理的内容域是权威的。分布式数据传输机制可用于将控制信息(例如,用于管理内容、促进负载平衡等的元数据)分布到边缘服务器。
如图2中所示,给定的机器200包括运行操作系统(如Linux或变型)204核心的商用硬件(例如,因特尔奔腾处理器)202,该操作系统204核心支持一个或多个应用206。为了促进内容分发服务,例如,给定的机器通常运行一组应用,如WEB代理(HTTP代理)207(有时称为“全局主机”进程)、名称服务器208、本地监控进程210、分布式数据收集过程212等。对于流媒体,机器通常包括一个或多个媒体服务器,如由支持的媒体格式所需的Windows媒体服务器(WMS)或Flash服务器。
CDN边缘服务器被配置为,优选使用利用配置系统被分配到边缘服务器的配置文件,优选在特定域、特定客户的基础上,提供一个或多个扩展的内容分发特征。给定的配置文件优选是基于XML的,并包括促进一个或多个高级内容处理特征的一组内容处理规则和指令。配置文件可经由数据传输机制被分发到CDN边缘服务器。美国专利第7,111,057号说明了一种有用的基础设施以用于分发和管理边缘服务器内容控制信息,且这个边缘服务器控制信息和其他边缘服务器控制信息可通过CDN服务提供商自身,或(经由外联网等)通过操作源服务器的内容提供商的客户来供应。
CDN可包括如在美国专利第7,472,178号中所描述的储存子系统,该专利的公开内容通过引用并入本文。
CDN可操作服务器缓存层次结构,以提供客户内容的中间缓存;美国专利第7,376,716号中描述了一个这样的缓存层次结构子系统,该专利的公开内容通过引用并入本文。
CDN可提供各种科技和技术以加速一方面的边缘服务器和另一方面的客户源服务器之间的流量流。这些技术提供加速用于许多不同类型的交互,例如,动态内容的分发、边缘服务器与后端源基础设施的交互等。代表性的示例包括但不限于美国专利第8,194,438(覆盖路径选择优化)和美国专利第8,477,837(内容预提取)中所描述的技术。其他IP、TCP、UDP或应用层优化也可被实施来促进这样的加速。这些技术有时在本文中被称为“覆盖网络优化”。
CDN可在以美国公布第20040093419中所描述的方式的客户端浏览器、边缘服务器和客户源服务器中提供安全内容分发。如在其中所描述的安全内容分发在一方面实施客户和边缘服务器进程之间的基于SSL的链接,以及在另一方面实施边缘服务器进程和源服务器进程之间的基于SSL的链接。这实现了SSL保护的网页和/或其组件能够经由边缘服务器分发。
作为覆盖,CDN资源可用于促进在企业数据中心(其可以是私人管理的)和第三方软件即服务(SaaS)提供商之间的广域网(WAN)加速服务。
在典型操作中,内容提供商识别需要通过CDN服务的内容提供商域或子域。CDN服务提供商(例如,经由规范名或CNAME)使内容提供商域与边缘网络(CDN)主机名相关联,并且CDN提供商随后向内容提供商提供该边缘网络主机名。当对内容提供商域或子域的DNS查询在内容提供商的域名服务器处被接收时,那些服务器通过返回边缘网络主机名进行响应。边缘网络主机名指向CDN,并且该边缘网络主机名随后通过CDN名称服务得以解析。为了实现此目的,CDN名称服务返回一个或多个IP地址。发出请求的客户端浏览器随后向与IP地址相关联的边缘服务器提出内容请求(例如,经由HTTP或HTTPS)。请求包括主机头,该主机头包括初始内容提供商域或子域。在收到具有主机头的请求后,边缘服务器检查其配置文件,以确定所请求的内容域或子域是否实际上由CDN处理。如果是的话,则边缘服务器如在配置中所指定的对该域或子域应用其内容处理规则和指令。这些内容处理规则和指令可位于基于XML的“元数据”配置文件内。
通过附加的背景,web应用变得越来越多地依赖于联合身份和带外认证。这些方法允许独立的组织单元运行对它们的用户进行认证的服务。这些服务随后可由任意数量的在线和云服务提供商使用,以对于给定的组织单元实现在它们各自系统中的登录和功能。通过使用该方法,每个服务提供商不需要维持用于访问每个组织的服务所需的用户账号的副本。相反,服务提供商访问单个真源,组织的认证服务本身,以确定如果访问被允许,谁是访问内容的用户,以及更多。
更具体地,在被称为“联合(federation)”的这种类型的方案中,实体合作使得在一个实体中的用户通过实体在联合中的参与而利用与一组实体的关系。用户可被授权访问在联合的实体中的任何一个处的资源,就好像他们具有与每一个实体的直接关系。用户不需要在每个实体处注册,且不需要识别和认证其自身。
更为正式地,联合是一组不同的实体(企业、企业内的逻辑单元等),其合作以向用户提供单点登录体验。联合的环境不同于典型的单点登录环境在于两个实体不需要具有直接的、预建立的关系,其定义如何传递有关用户的信息以及传递有关用户的什么样的信息。在联合的环境内,实体提供服务,该服务处理认证用户、接收由其他实体提出的认证断言(例如,认证令牌)、以及将为用户担保的身份转换为本地实体内被理解的一个身份。联合减少了在服务提供商上的成本和管理负担,其依赖于信任联合本身而不是管理认证信息。在操作中,联合环境允许用户在第一实体处进行认证。第一实体向用户提供关于用户的认证“断言”以用于在第二实体处使用。用户可随后通过仅仅展示由第一实体发出的认证断言来访问在第二不同的实体处的受保护资源。用户不必在第二实体处再次认证,而是只在从第一方获取的断言中简单通过。
特定的实体在联合环境的背景下可承担特定的角色。身份提供者(IdP)是特定类型的服务,其向联合内的其他实体提供身份信息作为服务。通常情况下,发出断言的实体是IdP;一旦用户通过对IdP的认证而获取断言,则联合中的其他实体对于具体联合的会话或事务期间是服务提供商。
安全断言标记语言(SAML)是基于XML的标准,用于在安全域之间(如在身份提供者和服务提供商之间)进行认证和授权数据的交换。SAML假定主体(通常是用户)已经向至少一个身份提供者进行登记,该身份提供者向主体提供本地认证服务。服务提供商依赖于身份提供者以识别主体。在主体的请求下,身份提供者将SAML断言传递给服务提供商。基于该断言,服务提供商(SP)做出访问控制决定。为了促进SAML,IdP和信任来自该IdP的断言的服务提供商交换关于彼此的SAML实现的加密信息和其他信息。
图3图示了关于SAML 2.0认证的典型IdP-SP流。在该附图中,存在从服务提供商302中寻求服务的终端用户(并且,特别是用户的浏览器或移动应用)300。服务提供商与IdP(IDP认证服务器)304联合。
过程流程如下:
1.终端用户300试图访问服务提供商302系统上的资源。
2.服务提供商302确定用户当前未登陆并利用认证请求将终端用户的机器重定向(例如,经由HTTP重定向命令)到IDP认证服务器304。
3.终端用户300将认证请求转发到IDP认证服务器304。
4.IDP认证服务器304让用户登陆(通过任意数量的方式:密码、相互认证、生物识别等)。
5.IDP认证服务器304生成认证响应并对其进行加密地签名。IDP认证服务器304随后向终端用户300发送指示发送请求的客户端利用签名的断言返回到服务提供商302的重定向。
6.终端用户300利用认证响应访问服务提供商302。
7.服务提供商302验证认证响应和签名,并发送回一些令牌,以展示与服务提供商的登录状态(例如,HTTP cookie)。
8.现在,终端用户300作为正常的登陆用户访问站点。
上述交换通常不仅是SAML 2.0认证请求和响应,还是许多其他的带外认证器。
根据本文中的教导修改了这个已知的交互,其现在将进行描述,以用于通过覆盖网络(如CDN)加速加载流量的目的。
用于通过带外安全认证器加速流量加载
参照图4,提供了以下新的过程流程。在此示出的组件相当于图3中的那些组件,外加加速服务器(“加速服务器”)406。加速服务器406对应于覆盖网络(图1)的服务器(如图2中所示)。
1.终端用户400试图访问服务提供商402系统上的资源。
2.服务提供商402确定用户当前未登陆并利用认证请求将终端用户的机器重定向到IdP认证服务器404。
3.终端用户400将认证请求转发到IdP认证服务器404。
4.IdP认证服务器404让用户登陆(通过任意数量的方式:密码、相互认证等)。
5.IDP认证服务器404生成认证响应并对其进行加密地签名。IDP认证服务器404随后向终端用户400发送指示发送请求的客户端利用签名的断言行进到加速服务器406的重定向。
6.终端用户400利用认证响应访问加速服务器406。
7.加速服务器406将认证响应转发到服务提供商402。
8.服务提供商402验证认证响应和签名,并发送回一些令牌,以展示与服务提供商的登录状态(例如,HTTP cookie)。
9.加速服务器406随后进行以下操作:
(a)将登陆令牌转换为适合于终端用户的格式(将到服务提供商的引用改变到加速服务器),并将其发送到终端用户,或
(b)在内部储存令牌并生成与实际令牌相关联的新的令牌(从步骤8开始),并将新的令牌发送到终端用户。此外,加速服务器406优选通过任意数量的方式(例如,HTML重写)修改所返回的资源,使得在其内的引用指向加速服务器406而不是直接指向服务提供商。
10.现在,终端用户400与加速服务器406通信,该加速服务器现在使用一个或多个方法(如路由优化、TCP优化、缓存或任何其他覆盖网络优化技术或功能)来加速事务。当需要到服务提供商402的转发连接时,加速服务器406反转令牌过程(从以上的步骤9开始),以利用适当的凭据访问服务提供商402。
这样就完成了过程。
作为变型,以及为了减少事务步骤,加速服务器406可选地能够用作IdP认证服务器404。
在另一替代方案中,加速服务器406用作代理IdP认证服务器404,同时(直接地或通过终端用户400作为中介)通信回到“真正”的IdP认证服务器404。
该方法的优点在于加速服务器不需要具有用户最初进入他或她的浏览器(或应用)的、匹配服务提供商域名的凭证和密钥。此外,该方法可依赖于用户的组织(例如,管理员或其他),以将服务提供商配置为访问作为带外认证器的加速服务器。因此,在加速提供商的控制下可使用完全不同的主机名以及相关联的凭证和密匙,同时允许终端用户最初仍联系服务提供商的主机名并验证其相关联的凭证。
因此,并且不同于早先提及的与CDN的常见设置(通过DNS的流量加载),(流量加载的)所述方法不需要服务提供商和加速提供器(CDN)保持任何关系。特别地,因为用于服务提供商的DNS记录不需要被改变(即,提供将SP主机名指向CDN主机名的CNAME),所以系统能够在没有这样的直接合作的情况下运作。因此,方法消除了加速提供器必须保持的关系,即,从服务提供商到服务提供商的(多个)客户的关系。
虽然技术已经在基于SAML 2.0的认证方案的背景下进行了解释,但这不是限制,因为可使用其他带外安全认证器。这些技术包括但不限于基于诸如Liberty、Shibboleth、OpenID、OAuth 2.0、WS-Trust、WS-Federation以及许多其他协议的各种协议的那些技术。概括而言,被改向到中介以登陆的终端用户的任何系统可用于执行加速流量加载的上述方法。
更普遍地,本文中所描述的技术使用一组一个或多个计算相关的实体(系统、机器、过程、程序、库、函数等)来提供,该实体共同促进或提供以上所描述的功能。在典型的实现中,在其上执行软件的代表性机器包括商用硬件、操作系统、应用运行时间环境、以及一组应用或过程及相关联的数据,它们提供了给定系统或子系统的功能。如所描述的,功能可在独立的机器中或在分布式的一组机器上来实施。功能可被提供作为服务,例如,作为SaaS解决方案。
虽然以上描述了由本发明的某些实施例执行的特定顺序的操作,但其应被理解为,这样的顺序为示例性的,因为可选实施例可以以不同的顺序执行操作、结合某些操作、重叠某些操作等。本说明书中对于给定实施例的引用表明所描述的实施例可包括特定的特征、结构或特性,但每个实施例可不必包括该特定的特征、结构或特性。
虽然所公开的主题已经在方法或过程的背景下进行了描述,但本公开还涉及用于执行本文中的操作的装置。该装置可以出于所需的目的被具体地构造,或其可包括由被储存在计算机中的计算机程序来选择性激活或重新配置的通用计算机。这样的计算机程序可被储存在计算机可读存储介质中,诸如但不限于任何类型的盘,包括光盘、CD-ROM以及磁-光盘、只读存储器(ROM)、随机存取存储器(RAM)、磁卡或光卡、或适于储存电子指令并各自耦合至计算机系统总线的任何类型的介质。
虽然已经单独描述了系统的给定组件,但是普通技术人员将认识到,功能中的一些可在给定的指令、程序序列、代码部分等中被组合或共享。
优选地,功能在应用层解决方案中实施,但是这不是限制,因此所识别的函数的部分可被构建到操作系统等中。
除了HTTPS之外功能可利用其他应用层协议实施,如SSL VPN或具有类似操作特性的其他协议。
对于计算实体的类型没有限制,其可实施客户侧或服务器侧的连接。任何计算实体(系统、机器、设备、程序、过程、应用等)可用作客户端或服务器。
最后,虽然已经单独描述了系统的给定组件,但是普通技术人员将认识到,功能中的一些可在给定的指令、程序序列、代码部分等中被组合或共享。
本文中的技术向科技或技术领域提供了改进,即,覆盖联网,以及向加速服务器自身的运作提供了改进,即,通过如已经描述的扩展其传统功能。
Claims (12)
1.一种在覆盖网络的加速服务器处操作的方法,包括:
接收断言,所述断言在由身份提供者从服务提供商接收到认证请求之后已经通过所述身份提供者生成,所述认证请求响应于在所述服务提供商处接收到关于受保护资源的请求已经通过所述服务提供商生成,关于所述受保护资源的所述请求已经从发送请求的客户端被接收到;
将所述断言转发给所述服务提供商;
接收令牌,所述令牌在所述断言的验证之后已经通过所述服务提供商生成,所述令牌伴随有所述受保护资源;
将响应返回给所述发送请求的客户端,所述响应操作以使来自所述发送请求的客户端的一个或多个附加请求将被定向到所述加速服务器或相关联的加速服务器,而不是直接被定向到所述服务提供商;以及
对于来自所述发送请求的客户端的至少一个这样的附加请求,执行在接收所述附加请求的所述加速服务器和所述服务提供商之间的覆盖网络优化。
2.根据权利要求1所述的方法,其中,所述身份提供者提供以下认证服务中的一个:SAML、Liberty、Shibboleth、OpenID、OAuth、WS-Trust以及WS-Federation。
3.根据权利要求1所述的方法,其中,所述身份提供者和所述服务提供商在联合中操作。
4.根据权利要求1所述的方法,还包括:
储存所述令牌;
生成新的令牌;
将所述响应和所述新的令牌返回给所述发送请求的客户端。
5.根据权利要求1所述的方法,其中,返回到所述发送请求的客户端的所述响应是所述受保护资源的修改版本。
6.根据权利要求5所述的方法,其中,所述受保护资源的所述修改版本包括至少一个URL,所述至少一个URL具有指向所述加速服务器而不是所述服务提供商的相关联的引用。
7.根据权利要求1所述的方法,其中,所述加速服务器还用作身份提供者。
8.一种使服务提供商能够加载到覆盖网络的方法,所述方法无需所述服务提供商修改其DNS记录以指向所述覆盖网络,或使由所述服务提供商使用以保护一个或多个资源的服务提供商凭证和加密密钥在所述覆盖网络中可用,所述方法包括:
配置加速服务器作为带外安全认证器;
在所述加速服务器处接收由身份提供者生成的断言,所述身份提供者在从所述服务提供商接收到认证请求时已经生成所述断言,所述服务提供商在从客户端接收到关于受保护资源的请求时已经生成所述认证请求;
将来自所述加速服务器的所述断言转发到所述服务提供商;
在所述加速服务器处接收所述受保护资源;
从所述加速服务器提供所述受保护资源的版本,所述版本包括使来自所述客户端的附加请求被定向到所述覆盖网络而不是所述服务提供商的信息;以及
在所述覆盖网络中接收并服务所述附加请求。
9.根据权利要求8所述的方法,其中,服务所述附加请求包括所述加速服务器在通信路径上前进到所述服务提供商,所述通信路径根据一个或多个覆盖网络优化而被优化。
10.根据权利要求8所述的方法,其中,所述断言为基于SAML的断言。
11.根据权利要求8所述的方法,其中,所述受保护资源在所述加速服务器处被接收,所述加速服务器响应于所述服务提供商验证所述断言来接收所述受保护资源。
12.根据权利要求8所述的方法,其中,所述加速服务器是内容分发网络(CDN)边缘服务器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461972237P | 2014-03-29 | 2014-03-29 | |
| US61/972,237 | 2014-03-29 | ||
| PCT/US2015/023206 WO2015153383A1 (en) | 2014-03-29 | 2015-03-28 | Traffic on-boarding for acceleration through out-of-band security authenticators |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106134155A CN106134155A (zh) | 2016-11-16 |
| CN106134155B true CN106134155B (zh) | 2020-01-24 |
Family
ID=54192001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580016837.8A Active CN106134155B (zh) | 2014-03-29 | 2015-03-28 | 与覆盖网络相关的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US9819582B2 (zh) |
| EP (1) | EP3127302B1 (zh) |
| CN (1) | CN106134155B (zh) |
| WO (1) | WO2015153383A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106576050B (zh) | 2014-05-14 | 2020-07-28 | 英弗斯佩克特有限责任公司 | 三层安全和计算架构 |
| US11843597B2 (en) * | 2016-05-18 | 2023-12-12 | Vercrio, Inc. | Automated scalable identity-proofing and authentication process |
| US10148649B2 (en) * | 2016-05-18 | 2018-12-04 | Vercrio, Inc. | Automated scalable identity-proofing and authentication process |
| US10440003B2 (en) * | 2016-09-14 | 2019-10-08 | Kasisto, Inc. | Automatic on demand re-authentication of software agents |
| CN106357792B (zh) * | 2016-10-10 | 2019-09-06 | 网宿科技股份有限公司 | 节点选路方法及系统 |
| CN108401011B (zh) * | 2018-01-30 | 2021-09-24 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
| US10958649B2 (en) | 2018-03-21 | 2021-03-23 | Akamai Technologies, Inc. | Systems and methods for internet-wide monitoring and protection of user credentials |
| US10887634B2 (en) * | 2018-07-26 | 2021-01-05 | Wangsu Science & Technology Co., Ltd. | Video resource file acquisition method and management system |
| US10834138B2 (en) | 2018-08-13 | 2020-11-10 | Akamai Technologies, Inc. | Device discovery for cloud-based network security gateways |
| US11245667B2 (en) | 2018-10-23 | 2022-02-08 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop and low-risk domain identification |
| US10958624B2 (en) | 2018-12-06 | 2021-03-23 | Akamai Technologies, Inc. | Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment |
| US11297040B2 (en) * | 2019-05-01 | 2022-04-05 | Akamai Technologies, Inc. | Intermediary handling of identity services to guard against client side attack vectors |
| CN111224952B (zh) * | 2019-12-24 | 2022-06-03 | 中移(杭州)信息技术有限公司 | 用于定向流量的网络资源获取方法、装置及存储介质 |
| US11610011B2 (en) | 2021-01-29 | 2023-03-21 | Akamai Technologies, Inc. | Secure transfer of data between programs executing on the same end-user device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
| CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6286104B1 (en) * | 1999-08-04 | 2001-09-04 | Oracle Corporation | Authentication and authorization in a multi-tier relational database management system |
| US7240100B1 (en) * | 2000-04-14 | 2007-07-03 | Akamai Technologies, Inc. | Content delivery network (CDN) content server request handling mechanism with metadata framework support |
| US20020147929A1 (en) * | 2001-04-10 | 2002-10-10 | Rose Mark E. | Access control for distributed content servers |
| US8180871B2 (en) * | 2001-05-23 | 2012-05-15 | International Business Machines Corporation | Dynamic redeployment of services in a computing network |
| US20040093419A1 (en) * | 2002-10-23 | 2004-05-13 | Weihl William E. | Method and system for secure content delivery |
| US9906838B2 (en) * | 2010-07-12 | 2018-02-27 | Time Warner Cable Enterprises Llc | Apparatus and methods for content delivery and message exchange across multiple content delivery networks |
| US8843758B2 (en) * | 2011-11-30 | 2014-09-23 | Microsoft Corporation | Migrating authenticated content towards content consumer |
| US20130254260A1 (en) * | 2012-03-22 | 2013-09-26 | Akamai Technologies Inc. | Network threat assessment system with servers performing message exchange accounting |
| US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
| TW201414857A (zh) | 2012-10-02 | 2014-04-16 | Hon Hai Prec Ind Co Ltd | 鎳磷合金及模仁 |
-
2015
- 2015-03-28 EP EP15774334.5A patent/EP3127302B1/en active Active
- 2015-03-28 US US14/672,119 patent/US9819582B2/en active Active
- 2015-03-28 WO PCT/US2015/023206 patent/WO2015153383A1/en active Application Filing
- 2015-03-28 CN CN201580016837.8A patent/CN106134155B/zh active Active
-
2017
- 2017-11-11 US US15/810,019 patent/US9917770B1/en active Active
-
2018
- 2018-03-12 US US15/918,731 patent/US10038631B1/en active Active
- 2018-07-31 US US16/050,771 patent/US10742546B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
| CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3127302B1 (en) | 2021-11-10 |
| US10038631B1 (en) | 2018-07-31 |
| US9819582B2 (en) | 2017-11-14 |
| EP3127302A1 (en) | 2017-02-08 |
| US10742546B2 (en) | 2020-08-11 |
| CN106134155A (zh) | 2016-11-16 |
| US20180077058A1 (en) | 2018-03-15 |
| US20150281204A1 (en) | 2015-10-01 |
| WO2015153383A1 (en) | 2015-10-08 |
| US9917770B1 (en) | 2018-03-13 |
| US20180205647A1 (en) | 2018-07-19 |
| US20180375761A1 (en) | 2018-12-27 |
| EP3127302A4 (en) | 2017-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106134155B (zh) | 与覆盖网络相关的方法 | |
| US11146615B2 (en) | Multi-domain configuration handling in an edge network server | |
| US9473419B2 (en) | Multi-tenant cloud storage system | |
| US11394703B2 (en) | Methods for facilitating federated single sign-on (SSO) for internal web applications and devices thereof | |
| US20040093419A1 (en) | Method and system for secure content delivery | |
| CN107005582B (zh) | 一种使用存储在不同目录中的凭证来访问公共端点的方法 | |
| US7860883B2 (en) | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments | |
| US8843636B1 (en) | Managing digital certificates for WAN optimization over content delivery networks | |
| US10484357B1 (en) | Method and apparatus for federated single sign on using authentication broker | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US10972453B1 (en) | Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof | |
| CA2473793A1 (en) | System, method and apparatus for federated single sign-on services | |
| EP1533970B1 (en) | Method and system for secure content delivery | |
| US20100031317A1 (en) | Secure access | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN114902612A (zh) | 基于边缘网络的帐户保护服务 | |
| CN117501729A (zh) | 传统认证与基于云的认证的集成 | |
| US20220337590A1 (en) | Mitigating multiple authentications for a geo-distributed security service using an authentication cache | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| EP2774044B1 (en) | Multi-domain configuration handling in an edge network server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |