CN117938962A - 用于cdn的网络请求调度方法、装置、设备及介质 - Google Patents

用于cdn的网络请求调度方法、装置、设备及介质 Download PDF

Info

Publication number
CN117938962A
CN117938962A CN202410330069.4A CN202410330069A CN117938962A CN 117938962 A CN117938962 A CN 117938962A CN 202410330069 A CN202410330069 A CN 202410330069A CN 117938962 A CN117938962 A CN 117938962A
Authority
CN
China
Prior art keywords
request
network request
scheduling
network
cloud server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410330069.4A
Other languages
English (en)
Other versions
CN117938962B (zh
Inventor
刘佳伟
江义晟
王剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Volcano Engine Technology Co Ltd
Original Assignee
Beijing Volcano Engine Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Volcano Engine Technology Co Ltd filed Critical Beijing Volcano Engine Technology Co Ltd
Priority to CN202410330069.4A priority Critical patent/CN117938962B/zh
Publication of CN117938962A publication Critical patent/CN117938962A/zh
Application granted granted Critical
Publication of CN117938962B publication Critical patent/CN117938962B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及边缘云技术领域,公开了用于CDN的网络请求调度方法、装置、设备及介质,包括:获取动态加速网关发送的网络请求,网络请求是动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的;在可信执行环境中,按照预设调度策略,将网络请求转发至多个预设应用服务器中的目标应用服务器;接收目标应用服务器对网络请求的响应结果,以及将响应结果转发至客户端。在边缘云服务器受到恶意攻击时,本公开动态加速网关将请求分发到距离客户端更近的边缘云服务器,边缘云服务器对网络请求负载均衡处理,以此通过边缘云服务器和动态加速网关的协同工作,优化边缘云服务器的响应时间以及提高可靠性,保障了数据安全。

Description

用于CDN的网络请求调度方法、装置、设备及介质
技术领域
本公开涉及边缘云技术领域,具体涉及用于CDN的网络请求调度方法、装置、设备及介质。
背景技术
随着边缘云技术的发展,内容分发网络(Content Delivery Network,CDN)起到了重要的作用。CDN通过将内容缓存到位于边缘机房的边缘云服务器上,使得用户能够更快速地获取所需的内容,减少了用户与中心数据中心之间的延迟。然而,边缘云服务器在边缘机房部署存在安全挑战,这也会影响到CDN的安全性能。相比于中心云技术场景下的中心机房,边缘机房内的边缘云服务器更容易受到恶意软件或攻击者的干扰,安全性能往往无法得到保证。如果发生恶意攻击,边缘云服务器的正常工作可能会受到影响。
特别是作为对网络请求进行调度的边缘云服务器,在受到外部的恶意攻击时,可能会导致边缘云服务器路由选择问题的信任度下降,从而使边缘云服务器无法正常运行。
发明内容
有鉴于此,本公开提供了一种用于CDN的网络请求调度方法、装置、设备及介质,以解决在受到外部的恶意攻击时,可能导致边缘云服务器路由选择问题的信任度下降,从而使边缘云服务器无法正常运行的问题。
第一方面,本公开提供了一种用于CDN的网络请求调度方法,所述方法应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎,所述方法包括:
获取动态加速网关发送的网络请求,所述网络请求是所述动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的;
在所述可信执行环境中,按照预设调度策略,将所述网络请求转发至多个预设应用服务器中的目标应用服务器;
接收所述目标应用服务器对所述网络请求的响应结果,以及将所述响应结果转发至所述客户端。
本公开能够在边缘云服务器中的可信执行环境中按照预设调度策略对网络请求进行调度,以及将目标应用服务器对网络请求的响应结果转发给客户端;与相关技术相比而言,本公开提供的方案即使在边缘云服务器受到恶意攻击时,由动态加速网关将请求分发到距离客户端更近的边缘云服务器,边缘云服务器对网络请求负载均衡处理,以此通过边缘云服务器和动态加速网关的协同工作,优化边缘云服务器的响应时间以及提高可靠性,保障了数据安全。
第二方面,本公开提供了一种用于CDN的网络请求调度方法,其特征在于,所述方法应用于边缘云服务器中的动态加速网关,所述方法包括:
获取客户端发送的网络请求;
解析所述网络请求中确定所述网络请求对应的请求类型,查询所述请求类型对应的安全检查策略;
利用所述安全检查策略对所述网络请求所携带的请求内容进行安全检查,得到请求初步处理结果;
若所述请求初步处理结果为合法结果,则根据所述客户端的网络环境信息确定相应的边缘云服务器,并发送所述网络请求至所述边缘云服务器中的动态加速路由调度引擎,以通过所述边缘云服务器对所述网络请求进行调度。
本公开动态加速网关获取并解析客户端发送的网络请求,可以对请求进行安全检查。可以防止恶意请求或攻击,提高系统的安全性。通过确定请求对应的请求类型,并查询相应的安全检查策略,可以根据安全检查策略对请求内容进行详细的安全检查,从而提供更全面的安全保护。然后根据客户端的网络环境信息确定合适的边缘云服务器,可以最大限度地降低延迟并提高系统的性能。将网络请求发送到最近的边缘云服务器可以减少数据传输的距离和时间,从而提升应用程序的响应速度和性能。此外,边缘云服务器可以根据负载均衡算法和其他策略,将请求分发到后端服务器,进一步优化系统的负载均衡和性能。
第三方面,本公开提供了一种用于CDN的网络请求调度装置,所述装置部署于应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎,所述装置包括:
获取模块,用于获取客户端发送的网络请求;
调度模块,用于在所述可信执行环境中,按照预设调度策略,将所述网络请求转发至多个预设应用服务器中的目标应用服务器;
响应模块,用于接收所述目标应用服务器对所述网络请求的响应结果,以及用于将所述响应结果转发至所述客户端。
第四方面,本公开提供了一种用于CDN的网络请求调度装置,所述装置应用于边缘云服务器中的动态加速网关,所述方法包括:
接收模块,用于获取客户端发送的网络请求;
解析模块,用于解析所述网络请求中确定所述网络请求对应的请求类型,查询所述请求类型对应的安全检查策略;
检查模块,用于利用所述安全检查策略对所述网络请求所携带的请求内容进行安全检查,得到请求初步处理结果,
发送模块,用于若所述请求初步处理结果为合法结果,则根据所述客户端的网络环境信息确定相应的边缘云服务器,并发送所述网络请求至所述边缘云服务器中的动态加速路由调度引擎,以通过所述边缘云服务器对所述网络请求进行调度。
第三方面,本公开提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的用于CDN的网络请求调度方法。
第四方面,本公开提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的用于CDN的网络请求调度方法。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本公开实施例的用于CDN的网络请求调度方法的流程示意图;
图2是根据本公开实施例的另一用于CDN的网络请求调度方法的流程示意图;
图3是根据本公开实施例的又一用于CDN的网络请求调度方法的流程示意图;
图4是根据本公开实施例的再一用于CDN的网络请求调度方法的流程示意图;
图5是根据本公开实施例的再一用于CDN的网络请求调度方法的流程示意图;
图6是根据本公开实施例的网络请求调度装置的结构框图;
图7是根据本公开实施例的另一网络请求调度装置的结构框图;
图8是本公开实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
随着私有化云、边缘计算的发展,多云部署的趋势的延伸,越来越多的动态加速服务需要部署在相对于自主可控的中心云之外的其他数据中心甚至边缘机房中。对于中心云场景下的中心机房内部署的中心云服务器,一般配备有高性能安全防护体系,所以可以承受恶意软件或攻击者的攻击。但对于边缘云场景下的边缘机房内部署的边缘云服务器来说,为了降低部署成本,所选择的边缘机房一般为网络安全性一般甚至网络安全性差的机房,特别是作为对网络请求进行调度的边缘云服务器,在受到外部的恶意攻击时可能面临以下问题:
(1)恶意攻击可能会导致边缘云服务器路由选择的信任度下降。攻击者可能伪造或篡改网络请求,导致边缘云服务器做出错误的路由选择。这可能会导致请求被发送到不合适的服务器,影响服务质量或安全性。或者,攻击者可以利用漏洞或恶意行为,改变边缘云服务器的路由策略,从而导致请求被发送到不安全或未经授权的目标。
(2)当边缘云服务器受到恶意攻击时,其抵御攻击的能力可能会下降。攻击者可能利用各种攻击手段,如DDoS攻击、拒绝服务攻击等,使边缘云服务器无法正常运行,从而影响整个边缘网络的稳定性和可靠性。
根据本公开实施例,提供了一种用于CDN的网络请求调度方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种用于CDN的网络请求调度方法,该用于CDN的网络请求调度方法应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎。
可信执行环境(TEE,Trusted Execution Environment),或者可称之为可信计算,本实施例将其用于保护下文的动态加速路由调度引擎,即使在不安全或被攻击的环境下也能够保持其安全性和完整性。具体地,TEE基于硬件的安全机制,将参与计算的代码和数据加载至一个受CPU(Central Processing Unit,中央处理器)保护的可信环境中,在机密性和完整性上提供保护。与操作系统相比,TEE提供了更高级别的安全性,因此,TEE更适合在其中对敏感数据进行处理。
图1是根据本公开实施例的用于CDN的网络请求调度方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取动态加速网关发送的网络请求,网络请求是动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的。
其中,当客户端发送网络请求时,网络请求会先被发送到动态加速网关。动态加速网关会对这个网络请求进行安全检查,包括验证身份、检测恶意行为、防范安全威胁等。如果安全检查通过,动态加速网关会将网络请求发送到边缘云服务器。边缘云服务器分布在不同的地点,离客户端更近,以提供更快的响应和更低的延迟。边缘云服务器接收到来自动态加速网关发送的网络请求后,会根据负载均衡算法和其他策略,将请求转发给最合适的后端服务器进行处理。
通过上述的架构和流程,边缘云服务器和动态加速网关协同工作,可以提供更高的性能和安全性。动态加速网关负责安全检查和流量控制,而边缘云服务器负责实际的请求处理和负载均衡。以通过动态加速网关将请求分发到客户端更近的边缘云服务器,可以优化边缘云服务器的响应时间和可靠性。具体地,网络请求可以是为了获取网页、数据、API(Application Programming Interface,应用程序编程接口)访问或任何其他类型的服务的请求。
基于此,本申请通过将边缘云服务器部署在离用户更近的地理位置,可以减少网络延迟并提高响应速度。用户可以从最近的边缘节点获取内容,而不需要远程的CDN服务器。边缘云服务器可以处理一部分网络请求,并对内容进行缓存,减轻远程CDN服务器的负载。从而提高整体的请求处理能力和吞吐量。另外动态加速网关可以在请求到达CDN之前对其进行安全检查,防止恶意请求和攻击。这可以提供额外的安全层,保护CDN和用户的内容安全。 通过边缘云服务器和动态加速网关的协同工作,CDN可以提供更快速、高效和安全的内容分发服务。边缘云服务器在离用户更近的位置提供内容,减少网络延迟,提高响应速度。同时,动态加速网关可以加强安全性,保护CDN和用户的内容免受恶意请求和攻击。这样的协同工作可以提升CDN的性能、稳定性和可靠性,提供更好的用户体验。
本公开实施例中,涉及的客户端具体可以包括但不限于电子设备上设置的应用程序客户端和/或网页端(web端),例如智能手机、平板电脑或台式计算机等电子设备上的移动应用或者其他类型的客户端软件。
在一些可选的实施方式中,在步骤S101之前,该网络请求调度方法还包括但不限于如下的步骤a1至步骤a4。
步骤a1,在边缘云服务器中创建所述可信执行环境。
其中,本实施例根据服务器的架构和需求,选择TEE技术。目前常见的TEE技术包括Intel SGX、ARM TrustZone等。根据所选择的TEE技术,安装相应的TEE软件栈。TEE软件栈包括TEE运行时环境和TEE SDK。运行时环境提供TEE的安全运行时环境,而SDK用于开发和部署TEE应用程序。根据TEE技术的要求,配置边缘云服务器的硬件和固件。主要包括BIOS设置、微码更新、安全启动等。
使用TEE SDK,开发并创建可信执行环境。具体包括:编写TEE应用程序和相关的安全配置。TEE应用程序是在可信执行环境中运行的应用程序,可以获得额外的安全保护。然后将开发好的TEE应用程序部署到边缘云服务器。
步骤a2,对预设调度策略对应的执行代码的签名进行验证。
其中,执行代码的签名可以是一种数字签名;更为具体的,该签名可以是一条证书链,从一个根证书到最终的代码签名证书,TEE可用于验证整条证书链,以确保执行代码的签名是可信的。
本实施例在将执行代码部署到TEE之前,可使用安全的数字签名对其进行签名,这通常涉及到使用一个可信的签名密钥(通常由软件发布者或组织控制)。
当执行代码加载到TEE时,TEE的启动过程可以包括验证执行代码的数字签名,只有在数字签名验证成功时,执行代码才会被允许运行,这确保了只有经过授权的代码才能够运行。
步骤a3,若执行代码的签名通过验证,则在可信执行环境中运行执行代码。
具体地,本实施例可在执行代码通过安全验证的情况下,加载和运行执行代码,即在TEE内加载流量调度逻辑,该调度逻辑是专门用于决定如何分配和转发入站流量到不同预设应用服务器的程序。
步骤a4,若执行代码的签名未通过验证,则拒绝执行代码在可信执行环境中运行。
本实施例通过对用于实现流量调度功能的代码进行签名验证,进一步保证可在TEE中运行的代码或程序必然是安全的,提高了流量调度的安全性。
步骤S102,在可信执行环境中,按照预设调度策略,将网络请求转发至多个预设应用服务器中的目标应用服务器。
其中,多个预设应用服务器与边缘云服务器分别通信连接,预设调度策略是一种负载均衡策略。
本实施例的预设调度策略可以包括一个或多个网络请求调度方式,从而将大量网络请求带来的流量分发至对应的预设应用服务器,具体可以转发到预设应用服务器的实例(例如容器或云服务等)上。
在一些可选的实施方式中,预设调度策略包括轮询方式、最小连接数方式、基于应用服务器资源的调度方式、哈希计算方式、路径散列方式以及域名散列方式中的至少一种方式,上述步骤S102包括:通过轮询(Round Robin)方式、最小连接数(Least Connections)方式、基于应用服务器资源的调度(Resource-Based Scheduling)方式、哈希(Hashing)计算方式、路径散列方式、域名散列方式中的至少一种方式对网络请求进行调度,从而将网络请求调度至目标应用服务器。
具体地,轮询方式包括平均轮询方式、加权轮询方式中的至少一种,最小连接数方式包括平均最小连接数方式、加权最小连接数方式中的至少一种,哈希计算方式包括源网际互连协议哈希方式、请求路径哈希方式、会话信息哈希方式中的至少一种。
通过轮询方式对网络请求进行调度的过程中,可信执行环境下的动态加速路由调度引擎,将当前的网络请求分配到预设应用服务器列表中的下一个预设应用服务器(即目标应用服务器);如果预设应用服务器列表的末尾被到达,则重新从预设应用服务器列表的开头的预设应用服务器进行网络请求的分配,预设应用服务器列表用于记载上述的多个预设应用服务器;上述轮询方式可以称之为平均轮询,该方式适合于所有预设应用服务器配置相同且处理能力大致相当的场景。在此基础上,本实施例或可通过加权轮询方式对网络请求进行调度,包括:为预设应用服务器列表中的每个预设应用服务器分别设置权重,且权重用于反映预设应用服务器的处理能力;例如,在某个预设应用服务器的响应变慢时可动态地将该预设应用服务器的权重降低,并为具有更高权重的预设应用服务器分配更多的网络请求。其中,加权轮询更适合于后端的多个预设应用服务器之间存在性能差异的场景。本实施例的动态加速路由调度引擎能够实时监控后端的每个预设应用服务器的性能指标,性能指标可包括但不限于响应时间、CPU使用率、内存使用率及活动连接数等,这些性能指标对于实施流量调度和健康检查至关重要。
通过最小连接数方式对网络请求进行调度的过程中,动态加速路由调度引擎将新的网络请求发送到当前活动连接数最少的预设应用服务器;上述最小连接数方式可以称之为平均最小连接数方式,该方式适合于在处理时间不确定的网络请求时尤其适用,通过该方式可以确保没有一个预设应用服务器会因为若干长时间运行的进程而变得过载。在此基础上,本实施例或可通过加权最小连接数方式对网络请求进行调度,包括:为上述的多个预设应用服务器分别设置权重,并根据所设置的权重和当前活动连接数,将当前的网络请求分配至目标应用服务器。通过将权重因素考虑在内,可实现更智能地分配负载,使得目标应用服务器根据其实际处理能力接收到合适数量的连接和网络请求。
通过基于应用服务器资源的调度方式对网络请求进行调度的过程中,动态加速路由调度引擎获取上述多个预设应用服务器的当前资源使用情况,并根据当前资源使用情况将当前的网络请求分配给当前资源利用率最低的预设应用服务器,以防止某些预设应用服务器过载;其中,本实施例的当前资源使用情况包括CPU使用率和内存使用率等。
通过哈希计算方式对网络请求进行调度的过程中,动态加速路由调度引擎获取特定参数,特定参数可包括客户端IP地址、请求路径或会话信息等,然后基于特定参数的哈希算法将网络请求发送至对应的预设应用服务器。其中,哈希算法的具体过程可从相关技术中选择,本实施例不再赘述。基于哈希计算方式的网络请求调度方案中,可保证同一客户端发出的网络请求总是被发送到相同的预设应用服务器,该方案适用于会话持久性的应用。
通过路径散列方式对网络请求进行调度的过程中,动态加速路由调度引擎具体能够以网络请求的路径进行散列,以决定网络请求的路由,从而将网络请求分配给相应的预设应用服务器,实现将不同的URL(Uniform Resource Locator,统一资源定位器)定向到特定的预设应用服务器。通过域名散列方式对网络请求进行调度的过程中,动态加速路由调度引擎具体能够以网络请求的域名进行散列,以决定网络请求的路由,从而将网络请求分配给相应的预设应用服务器,实现将不同的域名定向到特定的预设应用服务器。当然,在本实施例的基础上也可自定义网络请求调度算法,以满足特定的业务需求。对于上述的多种网络请求调度的方式,本实施例允许用户根据实际需求和后端的预设应用服务器的特点选择最合适的调度方式。
对于网络请求调度这种关键操作,本公开实施例通过TEE提供了一个安全的计算环境,包括网络请求调度在内的关键操作不会被外部恶意软件或攻击者干扰。
在一些可选的实施方式中,通过轮询方式、最小连接数方式、基于应用服务器资源的调度方式、哈希计算方式、路径散列方式、域名散列方式中的至少一种方式对网络请求进行调度,包括但不限于如下的步骤b1和步骤b2。
步骤b1,获取多个预设应用服务器的响应历史信息和当前网络状况信息。
其中,响应历史信息可表示预设应用服务器在过去一段时间内对网络请求的响应情况,当前网络状况信息可表示边缘云服务器与预设应用服务器之间的网络连接情况。
步骤b2,根据响应历史信息和当前网络状况信息,选择轮询方式、最小连接数方式、基于应用服务器资源的调度方式、哈希计算方式、路径散列方式、域名散列方式中的一种或多种方式对网络请求进行调度。
例如,在每个预设应用服务器对网络请求的历史响应结果表现一致的情况下,则可根据预设应用服务器网络情况使用最小连接数方式;如果据预设应用服务器网络情况表现一致,则可使用轮询方式;如果不同预设应用服务器性能相差大,则可在最小连接数或轮询方式基础上使用基于应用服务器资源的调度方式;如果网络请求中具有客户端IP地址、请求路径或会话信息等特定参数,则可在最小连接数或轮询方式基础上使用哈希计算方式、路径散列方式、域名散列方式中的一种或多种。
本公开实施例可将响应历史信息和当前网络状况信息作为多种调度方式的选择依据,该方式能够实现流量调度策略的动态调整,以优化流量分配。可见本实施例能够根据当前网络条件和服务器负载动态调整,实现智能流量分配。另外,针对高流量情况设计的处理机制,本实施例能够在流量突增时快速调整,确保网络稳定性。
在一些可选的实施方式中,按照预设调度策略,将网络请求转发至多个预设应用服务器中的目标应用服务器,包括:对网络请求进行加密,以及按照预设调度策略将加密后的网络请求发送至目标应用服务器。
其中,本实施例能够通过边缘云服务器上配置的专用的硬件加速器对网络请求进行加密。
在可信执行环境下,本实施例能对包括网络请求在内的相关敏感数据进行加密和确保代码的完整性,因此,基于本实施例提供的方案,即使在不安全的环境中进行数据传输,也能够保持其数据安全性。
步骤S103,接收目标应用服务器对网络请求的响应结果,以及将响应结果转发至客户端。
其中,目标应用服务器用于对网络请求进行响应,本实施例中的预设应用服务器能够以服务池或实例的方式对收到的网络请求进行响应,得到响应结果,以及将响应结果发送回边缘云服务器。
在一些可选的实施方式中,将响应结果转发至客户端,包括:对响应结果进行加密,以及将加密后的响应结果发送至客户端。
可见本实施例能够对响应结果进行进一步处理,该进一步处理的过程包括上述的加密处理的过程,还可包括例如响应头修改、压缩等处理过程,然后将经过上述进一步处理后的响应结果发送至客户端。
通过加密响应结果的方式,本公开能够进一步提高边缘云服务器与客户端之间数据传输的安全性。
本实施例提供的用于CDN的网络请求调度方法,基于TEE技术提供了一个安全的执行环境,用于隔离敏感的计算任务,该执行环境是独立于边缘云服务器主机操作系统的,能够防止外部攻击者访问或修改正在执行的代码和数据。本实施例在边缘云服务器中的可信执行环境中按照预设调度策略对网络请求进行调度,以及将目标应用服务器对网络请求的响应结果转发给客户端;与相关技术相比而言,本公开提供的方案即使在边缘云服务器受到恶意攻击时,由动态加速网关将请求分发到距离客户端更近的边缘云服务器,边缘云服务器对网络请求负载均衡处理,以此通过边缘云服务器和动态加速网关的协同工作,优化边缘云服务器的响应时间以及提高可靠性,保障了数据安全。
在本实施例中提供了一种用于CDN的网络请求调度方法,该网络请求调度方法应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎;图2是根据本公开实施例的网络请求调度方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取动态加速网关发送的网络请求,网络请求是动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的。详细请参见图1所示实施例的步骤S101,在此不再赘述。
步骤S202,在可信执行环境中,按照预设调度策略,将网络请求转发至多个预设应用服务器中的目标应用服务器。详细请参见图1所示实施例的步骤S102,在此不再赘述。
步骤S203,接收目标应用服务器对网络请求的响应结果,以及将响应结果转发至客户端。详细请参见图1所示实施例的步骤S103,在此不再赘述。
步骤S204,将在可信执行环境中调度网络请求的过程记录为日志文件,以及对日志文件进行存储。
例如,本实施例对在可信执行环境中的关键操作进行记录,并记录为日志文件以及对该日志文件进行存储。
本实施例提供的用于CDN的网络请求调度方法,还通过将在可信执行环境中调度网络请求的过程记录为日志,这对于后续的分析、审计和监控至关重要。
本实施例还提供了利用日志文件进行追踪和故障排查的方法,如图3所示,具体包括:
步骤c1,获取异常检测请求。
其中,可以通过不同的方式获取异常检测请求。这可能包括用户提交的异常报告、监控系统的警报、自动化的错误检测机制或其他异常检测系统的输出等。
步骤c2,查询异常检测请求所关联的目标日志文件。
具体的,根据异常检测请求的标识或相关信息,可以通过系统的日志管理工具或查询接口来搜索和获取与该请求相关的目标日志文件。
步骤c3,分析目标日志文件得到相应目标网络请求的调度路径,得到调度路径中各个节点处理目标网络请求的处理情况。
具体的,首先需要对目标日志文件进行解析,根据解析得到的日志数据,确定目标网络请求的唯一标识,可以是请求ID、URL、IP地址或其他请求相关的标识。利用请求标识,在日志数据中追踪请求的调度路径。通过查找该请求在日志中的各个记录,以及其中的关联信息来实现。例如,可以根据请求ID找到对应的日志记录,以及记录中的节点ID或名称。
根据追踪到的调度路径,查找每个节点的处理情况。处理情况包括节点的处理时间、响应状态码、错误信息等。可以通过分析日志记录中的相关字段或标志来提取这些信息。将每个节点的处理情况整理和汇总,将数据存储在一个数据结构中,以便后续处理和分析。
步骤c4,根据处理情况进行异常检测得到检测结果。
具体的,将所得到的处理情况数据与异常检测规则或指标进行比较和判断。可以是基于阈值的比较,例如:响应时间超过某个阈值,或是基于规则的验证,如错误码与预期不符。最终,根据比较和判断的结果,生成异常检测的结果。例如:将异常请求标记为有异常、生成异常报告或制定警报等。
综上,本申请通过查询异常检测请求关联的目标日志文件,可以定位到异常请求产生时的具体日志文件,方便后续的分析和处理。分析目标日志文件得到调度路径,可以提供对网络请求的全局视角,而后根据路径中各个节点的处理情况的评估和判断,快速生成异常检测结果和报告,帮助系统管理员或开发人员迅速响应和解决问题。
例如:目标日志文件记录了视频业务的相关信息。通过分析该日志文件,得到视频网络请求的调度路径,并分析每个节点的处理情况以进行异常检测。
根据以日志文件,可以得到视频网络请求的调度路径如下:Node1—Node2。对应每个节点的处理情况如下:Node1:处理时间为2.1秒,响应状态码为200,没有错误信息。Node2:处理时间为3.6秒,响应状态码为200,没有错误信息。
根据处理情况进行异常检测,我们可以得到以下检测结果:Node1的处理时间在正常范围内,没有异常。Node2的处理时间较长,可能存在异常。因此,检测结果为:Node2和Node3存在异常。
如图4所示,可将动态加速网关、基于可信执行环境的动态加速路由调度引擎(即前述实施例中的动态加速路由调度引擎)、动态均衡日志服务均布置在边缘云服务器的动态加速网关上。本实施例的动态加速路由调度引擎能够与边缘云平台之间进行功能自动扩展和集成,根据流量的变化动态地调整后端资源。本实施例中的动态加速路由调度引擎还能够进行自我修复,当检测到后端的预设应用服务器提供的服务发生故障时,自动重新路由流量,保证业务的持续运行。另外,该动态加速路由调度引擎还可与网络应用防火墙(WAF,Web Application Firewall)集成,提供安全层面的流量监控和攻击防御。
具体地,本实施例的用于CDN的网络请求调度方法具体可包括如下的步骤:
步骤S401,客户端(例如包括电子设备上的浏览器、应用程序等)向边缘云服务器发送的网络请求,首先到达动态加速网关(动态加速网关),即用户访问服务到达动态加速网关,动态加速网关负责接收这些网络请求,并根据预定义的规则(如URL路径、请求类型等)解析这些请求。动态加速网关可以对网络请求进行初步处理,例如SSL(Secure SocketsLayer,安全套接层)终端检查、请求检查、日志记录等,此阶段可能还包括对请求进行安全检查,例如防止DDoS(Distributed Denial Of Service attack,分布式拒绝服务攻击)、SQL(Structured Query Language,结构化查询语言)注入等,确保只有合法和安全的请求能够被进一步处理。
步骤S402,动态加速网关转发流量至基于可信执行环境的动态加速路由调度引擎,即动态加速网关将网络请求转发至基于可信执行环境的动态加速路由调度引擎。
步骤S403,动态加速路由调度引擎在可信执行环境中执行调度算法,将网络请求发送至目标应用服务器进行处理,并接收目标应用服务器的响应结果,以及将响应结果反馈给对应的客户端,完成网络请求调度。
在可信执行环境这个安全的环境中,可执行动态加速网关的核心功能,即实现流量调度逻辑,即使边缘云服务器主机操作系统受到恶意软件的侵害,在可信执行环境内的流量调度逻辑也不会受到影响。
步骤S404,基于动态均衡日志服务,动态加速路由调度引擎记录可信执行环境调度日志。
综上,本公开基于TEE技术来保护动态加速路由调度引擎,使其在包含边缘云环境的多云环境中运行得更安全,特别是在那些需要部署在中心云之外的其他数据中心或边缘机房的情况下,本公开能够有效地减少恶意软件或者攻击者对动态加速服务的干扰,即使恶意软件感染了操作系统(受到操作系统级别的威胁),本公开提供的调度决策也是安全的和可靠的,可见本公开明显提高了服务可靠性和安全性,特别提高了边缘云服务器对流量调度的安全性和可靠性;本公开适用于安全性要求极高的场景,例如金融服务数据、敏感数据处理等。
图5是根据本公开实施例的用于CDN的网络请求调度方法的流程图,如图5所示,方法应用于动态加速网关,方法包括:
步骤S501,获取客户端发送的网络请求。
动态加速网关作为中间层,部署在客户端和边缘云服务器之间。客户端向动态加速网关发送网络请求,并通过网络通信协议将请求数据传输给动态加速网关。
步骤S502,解析网络请求中确定网络请求对应的请求类型,查询请求类型对应的安全检查策略。
步骤S502,包括:获取网络请求中的请求头;解析请求头得到请求头所包含的字段内容,得到请求标识;获取请求标识对应的请求类型。对网络请求进行解析和安全检查,可以快速确定请求的类型和安全性。这样可以在最短的时间内进行初步处理,并决定是否将请求发送到边缘云服务器进行调度。快速响应可以提高用户体验和系统的性能。
具体的,当客户端发送网络请求时,请求头是作为请求的一部分随请求一起发送的。动态加速网关可以通过接收到的请求数据获取请求头,并对请求头进行解析以提取其中的字段内容。 请求头中包含了与请求相关的元数据和其他信息,它可以包含多个字段,每个字段都有特定的作用。常见的请求头字段包括User-Agent、Accept、Content-Type等,它们提供了关于客户端和请求内容的详细信息。 动态加速网关可以解析请求头,并获取其中各个字段的具体值。例如,可以通过解析User-Agent字段获取客户端的浏览器信息和操作系统信息。还可以通过解析Accept字段获取客户端接受的内容类型。此外,也可以根据业务需求添加自定义的请求标识字段,并通过解析该字段获取请求标识。 请求标识通常用于唯一标识一个请求,以便在后续的处理中进行识别和处理。根据具体需求,可以选择从请求头中的某个字段提取请求标识,也可以通过自定义的请求标识字段来获取。通过提取请求标识,动态加速网关可以在后续的处理流程中对请求进行识别、路由或者其他处理操作。通过解析请求头并提取字段内容,动态加速网关可以根据客户端的需求和特定的业务逻辑进行灵活的处理,提供个性化的服务和增强功能。
通过获取请求标识,动态加速网关可以确定请求对应的请求类型。具体通过匹配、映射或查询操作来实现。请求类型可以根据业务需求进行分类,例如GET请求、POST请求、PUT请求等。根据请求标识,可以将请求类型与特定的处理逻辑或路由进行关联。
步骤S503,利用安全检查策略对网络请求所携带的请求内容进行安全检查,得到请求初步处理结果。
例如:客户端通过应用程序提交用户个人信息查询请求,请求中包含待查询的用户ID或用户名等信息。动态加速网关接收到查询请求后,首先执行安全检查策略。
安全检查策略1:验证客户端权限。动态加速网关根据请求中携带的访问凭证(如访问令牌、用户ID)进行验证,并检查是否具有查询其他用户个人信息的权限。如果验证失败或者权限不足,拒绝该查询请求,并返回错误信息给客户端,提示重新登录或者获取相应的权限。
如果验证通过且具有查询权限,继续执行下一项安全检查策略。
安全检查策略2:验证查询参数的合法性。动态加速网关对查询请求中携带的客户端ID或者操作标识等参数进行验证,确保参数符合规定的格式和要求。
如果查询参数不合法或者有潜在的安全风险,拒绝该查询请求,并返回错误信息给客户端,提示重新输入有效的查询参数。
如果查询参数合法,继续执行下一项安全检查策略。
安全检查策略3:敏感信息过滤。动态加速网关根据安全策略,对查询结果中的敏感信息进行过滤,确保不会返回潜在的隐私泄露或安全风险。如果查询结果中包含敏感信息,动态加速网关会进行脱敏处理或者只返回经过授权的部分信息。
步骤S504,若请求初步处理结果为合法结果,则根据客户端的网络环境信息确定相应的边缘云服务器,并发送网络请求至边缘云服务器中的动态加速路由调度引擎,以通过边缘云服务器对网络请求进行调度。
具体的,若请求初步处理结果为合法结果,表示该网络请求通过了安全检查策略,是合法且安全的。接下来,动态加速网关会根据客户端的网络环境信息确定相应的边缘云服务器,并将网络请求发送至边缘云服务器中的动态加速路由调度引擎进行调度处理。
动态加速网关在确定最合适的边缘云服务器时,会考虑客户端的网络环境信息,包括地理位置和网络状况。根据这些信息,它会选择最近的边缘云服务器来提供服务。首先,动态加速网关利用客户端的地理位置来确定最近的边缘云服务器。边缘节点通常分布在不同的地区,它们离客户端的地理位置越近,网络延迟就越低。通过根据客户端的地理位置和边缘节点的位置进行比对,动态加速网关可以找到最近的边缘云服务器。其次,动态加速网关还会根据客户端的网络状况来选择最佳的网络路径。它会检测客户端与各个边缘云服务器之间的网络延迟、带宽、丢包率等指标。通过对这些指标的评估,它可以选择具有最优性能的网络路径,以确保客户端能够获得较低的延迟和较高的带宽。
当确定了最近的边缘云服务器和最佳的网络路径,动态加速网关将会将客户端的请求路由至该边缘云服务器。边缘云服务器可以根据具体的业务需求进行调度,例如将请求转发到最近的应用服务器,根据负载情况进行负载均衡,或者根据内容进行缓存等。这样,客户端可以通过边缘云服务器获得更快的响应时间。
综上,动态加速网关通过综合考虑客户端的地理位置和网络状况,选择最近的边缘云服务器和最佳的网络路径,从而实现了对边缘服务的加速和优化。这种方式可以实现高效访问,并有效利用边缘计算资源。
本公开动态加速网关获取并解析客户端发送的网络请求,可以对请求进行安全检查。可以防止恶意请求或攻击,提高系统的安全性。通过确定请求对应的请求类型,并查询相应的安全检查策略,可以根据安全检查策略对请求内容进行详细的安全检查,从而提供更全面的安全保护。然后根据客户端的网络环境信息确定合适的边缘云服务器,可以最大限度地降低延迟并提高系统的性能。将网络请求发送到最近的边缘云服务器可以减少数据传输的距离和时间,从而提升应用程序的响应速度和性能。此外,边缘云服务器可以根据负载均衡算法和其他策略,将请求分发到后端服务器,进一步优化系统的负载均衡和性能。
综上,获取客户端发送的网络请求并解析进行安全检查的技术方案可以提供更高的安全性、快速响应、边缘云服务器调度的优势,并具备弹性和可扩展性,适应不同的业务需求和系统需求。另外,根据客户端的网络环境信息进行调度,可以提高CDN的安全性、性能和负载均衡能力。
在本实施例中还提供了一种用于CDN的网络请求调度装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种用于CDN的网络请求调度装置,该网络请求调度装置部署于应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎,如图6所示,该网络请求调度装置包括:
获取模块601,用于获取动态加速网关发送的网络请求,网络请求是动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的。
调度模块602,用于在可信执行环境中,按照预设调度策略,将网络请求转发至多个预设应用服务器中的目标应用服务器。
响应模块603,用于接收目标应用服务器对网络请求的响应结果,以及用于将响应结果转发至客户端。
在一些可选的实施方式中,该网络请求调度装置还包括日志记录模块。
日志记录模块,用于将在可信执行环境中调度网络请求的过程记录为日志文件,以及用于对日志文件进行存储。
在一些可选的实施方式中,预设调度策略包括轮询方式、最小连接数方式、基于应用服务器资源的调度方式、哈希计算方式、路径散列方式以及域名散列方式中的至少一种方式。
调度模块602,具体用于通过轮询方式、最小连接数方式、基于应用服务器资源的调度方式、哈希计算方式、路径散列方式、域名散列方式中的至少一种方式对网络请求进行调度,以将网络请求调度至目标应用服务器。
在一些可选的实施方式中,该网络请求调度装置还包括:
环境创建模块,用于在边缘云服务器中的动态加速网关上创建可信执行环境。
签名验证模块,用于对预设调度策略对应的执行代码的签名进行验证。
代码运行模块,用于根据执行代码的签名通过验证,在可信执行环境中运行执行代码。
运行拒绝模块,用于根据执行代码的签名未通过验证,拒绝执行代码在可信执行环境中运行。
在一些可选的实施方式中,调度模块602,还用于对网络请求进行加密,以及按照预设调度策略将加密后的网络请求发送至目标应用服务器。
响应模块603,还用于对响应结果进行加密,以及将加密后的响应结果发送至客户端。
在一些可选的实施方式中,该网络请求调度装置还包括:异常检测模块,用于获取异常检测请求;查询异常检测请求所关联的目标日志文件;分析目标日志文件得到相应目标网络请求的调度路径,得到调度路径中各个节点处理目标网络请求的处理情况;根据处理情况进行异常检测得到检测结果。
在本实施例中还提供了一种用于CDN的网络请求调度装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种用于CDN的网络请求调度装置,如图7所示,该网络请求调度装置包括:
接收模块701,用于获取客户端发送的网络请求;
解析模块702,用于解析网络请求中确定网络请求对应的请求类型,查询请求类型对应的安全检查策略;
检查模块703,用于利用安全检查策略对网络请求所携带的请求内容进行安全检查,得到请求初步处理结果,
发送模块704,用于若请求初步处理结果为合法结果,则根据客户端的网络环境信息确定相应的边缘云服务器,并发送网络请求至边缘云服务器中的动态加速路由调度引擎,以通过边缘云服务器对网络请求进行调度。
在一些可选的实施方式中,解析模块702,用于获取网络请求中的请求头;解析请求头得到请求头所包含的字段内容,得到请求标识;获取请求标识对应的请求类型。
请参阅图8,图8是本公开可选实施例提供的一种计算机设备的结构示意图,如图8所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,存储器20存储有可由至少一个处理器10执行的指令,以使至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本公开实施例还提供了一种计算机可读存储介质,上述根据本公开实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本公开的实施例,但是本领域技术人员可以在不脱离本公开的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (11)

1.一种用于CDN的网络请求调度方法,其特征在于,所述方法应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎,所述方法包括:
获取动态加速网关发送的网络请求,所述网络请求是所述动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的;
在所述可信执行环境中,按照预设调度策略,将所述网络请求转发至多个预设应用服务器中的目标应用服务器;
接收所述目标应用服务器对所述网络请求的响应结果,以及将所述响应结果转发至所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将在所述可信执行环境中调度所述网络请求的过程记录为日志文件,以及对所述日志文件进行存储。
3.根据权利要求1所述的方法,其特征在于,所述获取动态加速网关发送的网络请求之前,所述方法还包括:
在所述边缘云服务器中创建所述可信执行环境;
对所述预设调度策略对应的执行代码的签名进行验证;
若所述执行代码的签名通过验证,则在所述可信执行环境中运行所述执行代码;
若所述执行代码的签名未通过验证,则拒绝所述执行代码在所述可信执行环境中运行。
4.根据权利要求1所述的方法,其特征在于,
所述按照预设调度策略,将所述网络请求转发至多个预设应用服务器中的目标应用服务器,包括:对所述网络请求进行加密,以及按照所述预设调度策略将加密后的所述网络请求发送至所述目标应用服务器;
所述将所述响应结果转发至所述客户端,包括:对所述响应结果进行加密,以及将加密后的所述响应结果发送至所述客户端。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取异常检测请求;
查询所述异常检测请求所关联的目标日志文件;
分析所述目标日志文件得到相应目标网络请求的调度路径,得到调度路径中各个节点处理所述目标网络请求的处理情况;
根据所述处理情况进行异常检测得到检测结果。
6.一种用于CDN的网络请求调度方法,其特征在于,所述方法应用于动态加速网关,所述方法包括:
获取客户端发送的网络请求;
解析所述网络请求中确定所述网络请求对应的请求类型,查询所述请求类型对应的安全检查策略;
利用所述安全检查策略对所述网络请求所携带的请求内容进行安全检查,得到请求初步处理结果;
若所述请求初步处理结果为合法结果,则根据所述客户端的网络环境信息确定相应的边缘云服务器,并发送所述网络请求至所述边缘云服务器中的动态加速路由调度引擎,以通过所述边缘云服务器对所述网络请求进行调度。
7.根据权利要求6所述的方法,其特征在于,所述解析所述网络请求中确定所述网络请求对应的请求类型,包括:
获取所述网络请求中的请求头;
解析所述请求头得到所述请求头所包含的字段内容,得到请求标识;
获取所述请求标识对应的请求类型。
8.一种用于CDN的网络请求调度装置,其特征在于,所述装置部署于应用于配置有可信执行环境的边缘云服务器中的动态加速路由调度引擎;所述装置包括:
获取模块,用于获取动态加速网关发送的网络请求,所述网络请求是所述动态加速网关对来自于客户端的网络请求进行安全检查,并在安全检查通过后发送的;
调度模块,用于在所述可信执行环境中,按照预设调度策略,将所述网络请求转发至多个预设应用服务器中的目标应用服务器;
响应模块,用于接收所述目标应用服务器对所述网络请求的响应结果,以及用于将所述响应结果转发至所述客户端。
9.一种用于CDN的网络请求调度装置,其特征在于,所述装置应用于边缘云服务器中的动态加速网关,包括:
接收模块,用于获取客户端发送的网络请求;
解析模块,用于解析所述网络请求中确定所述网络请求对应的请求类型,查询所述请求类型对应的安全检查策略;
检查模块,用于利用所述安全检查策略对所述网络请求所携带的请求内容进行安全检查,得到请求初步处理结果,
发送模块,用于若所述请求初步处理结果为合法结果,则根据所述客户端的网络环境信息确定相应的边缘云服务器,并发送所述网络请求至所述边缘云服务器中的动态加速路由调度引擎,以通过所述边缘云服务器对所述网络请求进行调度。
10.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至7中任一项所述的用于CDN的网络请求调度方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的用于CDN的网络请求调度方法。
CN202410330069.4A 2024-03-21 2024-03-21 用于cdn的网络请求调度方法、装置、设备及介质 Active CN117938962B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410330069.4A CN117938962B (zh) 2024-03-21 2024-03-21 用于cdn的网络请求调度方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410330069.4A CN117938962B (zh) 2024-03-21 2024-03-21 用于cdn的网络请求调度方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN117938962A true CN117938962A (zh) 2024-04-26
CN117938962B CN117938962B (zh) 2024-07-05

Family

ID=90751106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410330069.4A Active CN117938962B (zh) 2024-03-21 2024-03-21 用于cdn的网络请求调度方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN117938962B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413000A (zh) * 2017-08-15 2019-03-01 吴波 一种防盗链方法及防盗链网关系统
CN112104752A (zh) * 2020-11-12 2020-12-18 上海七牛信息技术有限公司 一种内容分发网络缓存节点的热点均衡方法及系统
CN114338659A (zh) * 2020-09-25 2022-04-12 英特尔公司 边缘网络中的智能数据转发
US20230362016A1 (en) * 2023-07-19 2023-11-09 Intel Corporation Secure application computing environment in a federated edge cloud

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413000A (zh) * 2017-08-15 2019-03-01 吴波 一种防盗链方法及防盗链网关系统
CN114338659A (zh) * 2020-09-25 2022-04-12 英特尔公司 边缘网络中的智能数据转发
CN112104752A (zh) * 2020-11-12 2020-12-18 上海七牛信息技术有限公司 一种内容分发网络缓存节点的热点均衡方法及系统
US20230362016A1 (en) * 2023-07-19 2023-11-09 Intel Corporation Secure application computing environment in a federated edge cloud

Also Published As

Publication number Publication date
CN117938962B (zh) 2024-07-05

Similar Documents

Publication Publication Date Title
US11245715B2 (en) Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US20200067989A1 (en) Hostname validation and policy evasion prevention
US12088623B2 (en) Edge network-based account protection service
US20120221721A1 (en) Detecting Fraudulent Activity
WO2017139709A1 (en) Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
JP2010026547A (ja) ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
RU2601147C2 (ru) Система и способ выявления целевых атак
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
CN117938962B (zh) 用于cdn的网络请求调度方法、装置、设备及介质
CN117938961A (zh) 基于边缘服务器的网络请求调度方法、装置、集群及介质
US12132759B2 (en) Inline package name based supply chain attack detection and prevention
Bhat et al. Evaluation and Design of Performable Distributed Systems
CN114710331A (zh) 一种安全防御的方法和网络安全设备
Moorthy et al. Intrusion detection in cloud computing implementation of (saas & iaas) using grid environment
Bahkali et al. How Can Organizations Prevent Cyber Attacks Using Proper Cloud Computing Security?
CN118233117A (zh) 访问控制方法、装置、电子设备及存储介质
WO2023094853A1 (en) Characterization of http flood ddos attacks
Jeon Cyber security modeling for the operation of virtualized trusted networks
CN117955675A (zh) 一种网络攻击的防御方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant