CN110247889B - 一种cdn节点服务防盗链方法及系统 - Google Patents
一种cdn节点服务防盗链方法及系统 Download PDFInfo
- Publication number
- CN110247889B CN110247889B CN201910327600.1A CN201910327600A CN110247889B CN 110247889 B CN110247889 B CN 110247889B CN 201910327600 A CN201910327600 A CN 201910327600A CN 110247889 B CN110247889 B CN 110247889B
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- node service
- request
- theft
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/566—Grouping or aggregating service requests, e.g. for unified processing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种CDN节点服务防盗链方法及系统,在调度器返回的资源地址中携带防盗链特征。当用户将拿到的资源地址,去请求节点服务时,即同时将防盗链特征告诉了节点服务。节点服务通过对用户特征以及防盗链特征进行分析验证,即可判断当前用户是否合法。本发明可以在节点服务层级对盗链用户进行有效的识别,并保证系统运行安全、稳定、可靠,降低系统运维难度。
Description
技术领域
本发明涉及音视频应用领域,特别是一种CDN节点服务防盗链方法及系统。
背景技术
当前盗链行为在业内非常普遍,盗链者为了降低带宽成本、服务器成本,采用盗链的方式,将同行提供的服务为自己所用。
CDN系统从架构上来看包含调度器、分发系统、节点服务等。为了防止盗链发生,通常会在调度器、节点服务等环节对用户进行盗链识别,如果判定为盗链用户,则可以直接拒绝请求。在调度器层级进行盗链识别是很好解决的,因为调度器服务通常部署不会太大,一般会在某些省份,或者在某些机房进行少量部署,即可提供优质的全局服务。但在节点服务系统进行盗链识别的话,难度非常大,主要体现在以下几个方面:
1、节点服务是最终给用户提供资源下载的服务,在CDN系统中需要进行大量部署,会在全国甚至全球范围内进行部署,服务器总数根据CDN系统的大小,从几百台,到几千、几万台都有。
2、盗链者的特征是时刻在变化的,与防盗链是矛与盾的关系,随着防盗链措施的升级,盗链者也在升级盗链行为,由此防盗链变成一个长期艰巨的任务。
3、如果要对节点服务进行防盗链识别的话,必须实时给节点服务提供最新的盗链特征,但节点服务如此大量的部署。要做到实时、安全、可靠的提供盗链特征,会大大增加系统复杂度,导致系统不安全因素增加,也会极大增加系统运维成本。
综上,在节点服务层级进行盗链识别,是非常有必要的一个环节,但如果防盗链行为让CDN系统运维变得更加困难,不稳定因素增加,必须要仔细权衡利弊。
在节点服务层级进行盗链识别,最大的困难在于节点服务部署量大,而盗链行为的识别方法也是时刻在变化的,意味着当识别方法变化以后,必须要立刻通知到所有节点服务,才能有效的防止盗链行为,而对部署在全国甚至全球范围内的所有节点服务,盗链识别方法进行可靠升级实施难度大,风险高。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种CDN节点服务防盗链方法,在节点服务层级对盗链用户进行有效的识别,并保证系统运行安全、稳定、可靠,降低系统运维难度。
为解决上述技术问题,本发明所采用的技术方案是:一种CDN节点服务防盗链方法,该方法主要实现过程为:在调度器返回的资源地址中携带防盗链特征,当用户将拿到的资源地址去请求节点服务时,同时将防盗链特征告诉节点服务;节点服务通过对用户特征和防盗链特征进行分析验证,判断当前用户是否合法。
节点服务是指部署在节点机上的服务,节点服务负责管理当前节点机的资源,另外节点可能包括多台节点机,但节点服务是统一的。
本发明的方法具体包括以下步骤:
1)用户请求调度器;
2)调度器内部进行盗链识别,如果判断为盗链请求则直接拒绝用户请求,否则进行下一步;
3)调度器按资源分配规则对该用户进行资源分配,对节点服务防盗链特征按指定方式编码;
4)将分配的资源地址,以及编码后的防盗链特征进行加密后返回给用户;
5)用户拿到加密后的资源地址和防盗链特征后,发起资源请求;
6)节点服务收到用户资源请求时,解密、解码防盗链特征,并进行盗链识别,如果该请求为盗链,则直接拒绝该用户资源请求;当识别为正常用户时,返回资源给用户。
本发明目前采用xxtea加密的方式加密编码后的防盗链特征。以字符串123mgtv为例,第一个字节1:标识盗链识别类型,如UserAgent等;第二个字节2:标识匹配模式如包含,不包含等;第三个字节3:标识执行动作如拒绝,通过等;第四个字节至末尾:标识匹配字符串,最终123mgtv可以表示成拒绝UserAgent没有带mgtv的用户请求。
与现有技术相比,本发明所具有的有益效果为:本发明可以保证盗链识别方法的可靠下发,同时针对调度器进行升级改造成本低,非常适合对节点服务进行盗链识别方法的升级。可以在节点服务层级对盗链用户进行有效的识别,并保证系统运行安全、稳定、可靠,降低系统运维难度。
附图说明
图1为本发明方法原理图。
具体实施方式
CDN系统中调度器的功能是对用户进行统一识别,并给用户分配资源的系统,即调度器返回的就是用户最终想获取的资源地址,可能是我们数百、数千节点服务中的一个。如果我们想对节点服务进行盗链识别的话,可在调度器返回的资源地址中携带防盗链特征。当用户将拿到的资源地址,去请求节点服务时,即同时将防盗链特征告诉了节点服务。节点服务通过对盗链特征进行分析验证,即可判断当前用户是否合法。
由于调度器是集中部署,针对调度器进行盗链识别方法升级较为简单,通过上述方案对调度器进行升级后,即可立即反馈到节点服务中。
如图1,本发明具体实现过程如下:
1、用户请求调度器;
2、调度器内部进行盗链识别,如果判断为盗链请求则直接决绝,否则进行下一步;
3、调度器按资源分配规则对该用户进行资源分配;
4、对节点服务防盗链特征按指定方式进行编码,主要是减少网络传输量;
5、将分配的资源地址,以及编码后的盗链特征进行加密后返回给用户;
6、用户拿到加密后的资源地址和防盗链特征;
7、发起资源请求;
8、节点服务收到用户资源请求时,首先解密、解码防盗链特征,并进行盗链识别,如果该请求为盗链,则直接决绝请求;
9、当识别为正常用户时,返回资源给用户。
以湖南电信机房为例,该节点所有节点机服务,已升级支持防盗链。调度器在下发下载串的同时,下发了节点服务防盗链识别方法,后续通过调整调度器下发防盗链识别方法,即可对节点服务防盗链升级。
本发明中,防盗链特征可以是以下特征中的一个或多个:Referrer地址,UserAgent类型,IP白名单,IP黑名单,代理IP地址,请求文件类型等。
调度器针对每一个业务类型会分配一个PNO(业务标识号),如AphoneAPP,Aphone网页,PCweb网页,PCH5,PCclient,微博分享,湖南移动免流等等,针对以上每一个业务类型在实际请求调度器时会存在不同的特征。
如AphoneAPP用户请求,会在UserAgent中携带Android系统标识。调度器在处理用户请求时如果发现AphoneAPP对应的PNO发起的请求,并没有携带Android标识时,即可认为是非法请求。
如Referrer地址会携带用户当前请求网页的地址,调度器可以判断当前地址是否允许,进而判断是否为盗链用户。
IP黑名单是通过大数据分析,判断用户IP在整个平台中是否合理存在。首先单位时间内请求超过一定次数的IP可以认定为非法IP,如1分钟请求超过100次。其次1秒钟请求超过10次的亦可认为是非法IP,因为正常人操作无法达到这个速度。再者整个系统是相互衔接运行的,用户不能跳过当中某一个环节请求,如用户IP未出现在系统中任何一个位置,却直接发起CDN调度请求,亦可认为是非法IP。
IP白名单:某些业务为运营商定制业务,如湖南移动定制,山东联通定制则只允许湖南移动IP段,山东联通IP段访问该业务。或者某些内部业务,仅允许公司内部访问,则可以设置IP白名单。
代理IP地址:某些场景如校园网用户,网吧用户,会使用统一代理IP请求,甚至是多层代理,此类用户在做黑白名单校验时,需要充分考虑IP代理的情况。
请求文件类型:不同业务会使用不同文件类型提供服务,如mp4,m3u8,ts文件,不同业务端会使用其中一项或多项文件服务,如果请求文件类型不在服务范围内,则判定为非法用户。
CDN架构中,节点机大量部署,几千上万台很正常。而防盗链与盗链是相互进化的,盗链的手段时刻变化。设想如果每次盗链手段变化后,都要升级节点机服务来支持防盗链,成本高、风险大。采用本发明的方法,当盗链特征变化时,即时更新到调度器内,即可在第一时间发送到节点服务。
Claims (3)
1.一种CDN节点服务防盗链方法,其特征在于,该方法主要实现过程为:在调度器返回的资源地址中携带防盗链特征,当用户将拿到的资源地址去请求节点服务时,同时将防盗链特征告诉节点服务;节点服务通过对用户特征以及防盗链特征进行分析验证,判断当前用户是否合法;当盗链特征变化时,即时更新到调度器内;
该方法具体包括以下步骤:
用户请求调度器;
调度器内部进行盗链识别,如果判断用户请求为盗链请求,则直接拒绝用户请求,否则进入步骤3);
调度器按资源分配规则对该用户进行资源分配,对节点服务防盗链特征进行编码;
将分配的资源地址,以及编码后的防盗链特征进行加密后返回给用户;
用户拿到加密后的资源地址和防盗链特征后,发起资源请求;
节点服务收到用户资源请求时,解密、解码防盗链特征,将用户请求资源的特征与防盗链特征进行比较,识别是否为盗链,如果该资源请求为盗链,则直接拒绝该用户的资源请求;否则,返回资源给用户。
2.根据权利要求1所述的CDN节点服务防盗链方法,其特征在于,采用xxtea加密算法对节点服务防盗链特征进行加密。
3.一种CDN节点服务防盗链系统,其特征在于,包括:
调度器,用于返回资源,且资源地址中携带防盗链特征;
请求模块,用于在用户将拿到的资源地址去请求节点服务时,将防盗链特征告诉节点服务;
节点服务,用于对用户特征和防盗链特征进行分析验证,判断当前用户是否合法;当盗链特征变化时,即时更新到调度器内;
所述调度器包括:
盗链识别单元,用于判断用户请求是否为盗链请求,若是,则直接拒绝用户请求;否则,执行分配单元的操作;
分配单元,用于按资源分配规则对该用户进行资源分配,对节点服务防盗链特征进行加密;
所述请求模块包括:
返回单元,用于将分配的资源地址,以及编码后的防盗链特征进行加密后返回给用户;
通知单元,用于在用户拿到加密后的资源地址和防盗链特征,发起资源请求后,将防盗链特征告诉节点服务;
所述节点服务具体执行如下操作:节点服务收到用户资源请求时,解密、解码防盗链特征,将用户请求资源时的特征与防盗链特征进行比较,识别是否为盗链,如果该资源请求为盗链,则直接拒绝该用户的资源请求;否则,返回资源给用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327600.1A CN110247889B (zh) | 2019-04-23 | 2019-04-23 | 一种cdn节点服务防盗链方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327600.1A CN110247889B (zh) | 2019-04-23 | 2019-04-23 | 一种cdn节点服务防盗链方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110247889A CN110247889A (zh) | 2019-09-17 |
CN110247889B true CN110247889B (zh) | 2022-04-08 |
Family
ID=67883214
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910327600.1A Active CN110247889B (zh) | 2019-04-23 | 2019-04-23 | 一种cdn节点服务防盗链方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110247889B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110889445B (zh) * | 2019-11-22 | 2022-09-27 | 咪咕文化科技有限公司 | 视频cdn盗链检测方法、装置、电子设备及存储介质 |
CN111475761B (zh) * | 2020-04-09 | 2024-04-26 | 广州方硅信息技术有限公司 | 客户端、服务器及内容分享控制方法 |
CN112543353A (zh) * | 2020-11-20 | 2021-03-23 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种视频播放请求的处理方法及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986735A (zh) * | 2014-06-05 | 2014-08-13 | 北京赛维安讯科技发展有限公司 | Cdn网络防盗系统及防盗方法 |
CN108449308A (zh) * | 2018-01-18 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 识别恶意资源访问的方法及装置 |
CN109413000A (zh) * | 2017-08-15 | 2019-03-01 | 吴波 | 一种防盗链方法及防盗链网关系统 |
CN109873819A (zh) * | 2019-02-01 | 2019-06-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防止非法访问服务器的方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11057446B2 (en) * | 2015-05-14 | 2021-07-06 | Bright Data Ltd. | System and method for streaming content from multiple servers |
US9553885B2 (en) * | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
WO2018165190A1 (en) * | 2017-03-07 | 2018-09-13 | Akamai Technologies, Inc. | Cooperative multipath |
-
2019
- 2019-04-23 CN CN201910327600.1A patent/CN110247889B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986735A (zh) * | 2014-06-05 | 2014-08-13 | 北京赛维安讯科技发展有限公司 | Cdn网络防盗系统及防盗方法 |
CN109413000A (zh) * | 2017-08-15 | 2019-03-01 | 吴波 | 一种防盗链方法及防盗链网关系统 |
CN108449308A (zh) * | 2018-01-18 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 识别恶意资源访问的方法及装置 |
CN109873819A (zh) * | 2019-02-01 | 2019-06-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防止非法访问服务器的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110247889A (zh) | 2019-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110247889B (zh) | 一种cdn节点服务防盗链方法及系统 | |
CN110191063B (zh) | 服务请求的处理方法、装置、设备及存储介质 | |
US7630379B2 (en) | Systems and methods for improved network based content inspection | |
CN109429272B (zh) | 一种漫游场景下的分流方法及相关设备 | |
CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
CN103813329A (zh) | 一种能力调用方法及能力开放系统 | |
JP2018514102A (ja) | ブロードキャスト環境におけるウォーターマーク入りデータのための許可管理 | |
CN111083093B (zh) | 调用端能力的方法、装置、电子设备及存储介质 | |
US11983266B2 (en) | Systems and methods for event-based application control | |
EP1955219A2 (en) | System and method for providing content over a network | |
US20090234857A1 (en) | Controllable Content Distributing System | |
CN101404575B (zh) | 一种更新签名算法的方法和系统 | |
CN112351117A (zh) | 一种域名管理方法、装置、电子设备及存储介质 | |
CN105844121A (zh) | 一种内容分发网络应用数字水印的方法及系统 | |
CN111597543A (zh) | 基于区块链智能合约的广域进程访问权限认证方法及系统 | |
US20110270807A1 (en) | Method In A Database Server | |
CN111988644B (zh) | 网络视频的防盗链方法、装置、设备和存储介质 | |
US11622252B2 (en) | Methods and systems for management and control of communication network | |
CN104753774B (zh) | 一种分布式企业综合接入网关 | |
EP1302052A2 (de) | Verfahren zur bereitstellung eines programmoduls in einem kommunikationssystem | |
CN106936643B (zh) | 一种设备联动方法以及终端设备 | |
Al Solami | Replication‐aware secure resource administration scheme for Internet of Things‐smart city applications | |
CN110995756B (zh) | 调用服务的方法和装置 | |
CN116032510A (zh) | 数据安全保护系统 | |
CN114595433A (zh) | 一种信息系统数据安全加固方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |