WO2012129934A1

WO2012129934A1 - 一种实现cdn互通的认证方法、装置与系统

Info

Publication number: WO2012129934A1
Application number: PCT/CN2011/083908
Authority: WO
Inventors: 李金成; 和晓艳; 钟剑锋; 曹力争
Original assignee: 华为技术有限公司
Priority date: 2011-03-31
Filing date: 2011-12-14
Publication date: 2012-10-04
Also published as: CN102143184A; CN102143184B

Abstract

一种实现CDN互通的认证方法、装置与系统，所述方法包括：第二内容分发网络CDN2接收来自第一内容分发网络CDN1或终端的业务请求；所述CDN2获取由内容提供商CP提供的认证参数和令牌，所述CP与所述CDN1签约，所述CDN1与所述CDN2签约，所述CP未与所述CDN2签约；所述CDN2根据所述认证参数和令牌对所述CP进行认证；所述CDN2根据认证结果，向所述CDN1或所述终端返回业务响应。本发明实施例的方法、装置与系统，通过CDN2对CP进行认证，保证了CDN1和CDN2之间互通的安全性，使CDN2只为和CDN1签约的CP提供服务。

Description

一种实现 CDN互通的认证方法、装置与系统本申请要求于 2011 年 03 月 31 日提交中国专利局、申请号为 201110080623.0、发明名称为 "一种实现 CDN互通的认证方法、装置与系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，特别涉及一种实现 CDN (Content Dilivery Network, 内容分发网络）互通的认证方法、装置与系统。背景技术

内容提供商为了扩展自己的数据业务（如上网业务，视频业务等），往往需要部署大量的服务器，供用户访问。图 1为采用 C-S (客户端-服务器) 模式由内容提供商（Content Provider, CP) /业务运营商（Service Provider,

SP) 的内容源服务器为终端提供内容服务的示意图。

随着业务访问的增多，图 1所示的部署模式暴露出一些问题。首先，这些服务器往往部署在网络的较高位置（如骨干层，汇聚层等），以达到较大的覆盖范围，但当海量用户访问时，将会导致骨干、汇聚层带宽的大量占用，对网络带宽造成很大压力。其次，由于服务器位置较高，用户请求有较大时延，造成用户体验不理想。

针对上述问题，出现了独立的 CDN服务提供商。 CDN服务提供商通过在网络边缘部署大量边缘缓存节点组成的 CDN系统，就近为用户提供服务，从而达到节省网络带宽，提升用户业务体验的目的。同时，电信运营商也开始自己部署 CDN系统，一方面为自己的业务加速，同时可以提供给其他内容提供商使用。

CDN系统的出现，使得内容提供商可以仅仅部署少量的内容源服务器，就可以完成业务提供。同时，当用户数量增长时， CDN系统负责处理业务流量，而内容提供商无需进行网络扩容。采用 CDN系统为终端用户提供内容服务的网络模型如图 2所示。

CDN运营商、电信运营商根据自己的业务发展规划，选择在不同的地区部署 CDN系统。各厂家的 CDN系统之间覆盖范围不同，同时也可能存在覆盖区域的重叠。但目前 CDN系统还没有标准化，各个厂家的 CDN系统自成体系，相互之间独立运作，没有合作，造成各个 CDN系统之间能力无法互补。

比如，第一内容分发网络 CDN1覆盖了北京、上海；第二内容分发网络 CDN2覆盖了西安、深圳。此时如果某个内容提供商 CP希望其内容在北京、上海、西安、深圳四地的用户都可以访问，则无论 CDN1还是 CDN2 都无法单独满足该内容提供商的要求，因而需要 CDN 之间的互通。由于 CP与 CDN1签约、 CDN1与 CDN2签约，而 CP未与 CDN2签约，此时 CDN2 无法对 CP进行安全认证。发明内容

为了克服现有技术的缺陷，本发明实施例提供一种实现 CDN互通的认证方法、装置与系统，当 CP与 CDN1签约、 CDN1与 CDN2签约，而 CP 未与 CDN2签约时，实现 CDN2对 CP的认证。

一方面，本发明实施例提供一种实现 CDN互通的认证方法，所述方法包括：第二内容分发网络 CDN2接收来自第一内容分发网络 CDN1或终端的业务请求；所述 CDN2获取由内容提供商 CP提供的认证参数和令牌，所述 CP与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2签约；所述 CDN2根据所述认证参数和令牌对所述 CP进行认证；所述 CDN2根据认证结果，向所述 CDN1或所述终端返回业务响应。

另一方面，本发明实施例提供一种实现 CDN互通的认证装置，所述装置位于第二内容分发网络 CDN2 中，所述装置包括：接收单元，用于接收来自第一内容分发网络 CDN1 或终端的业务请求；获取单元，用于获取由内容提供商 CP提供的认证参数和令牌；所述 CP与所述 CDN1签约，所述 CDNl与所述 CDN2签约，所述 CP未与所述 CDN2签约；认证单元，用于根据所述获取单元获取到的认证参数和令牌对所述 CP进行认证；发送单元，用于根据所述认证单元的认证结果，向所述 CDN1 或所述终端返回业务响应。

又一方面，本发明实施例提供一种实现 CDN互通的认证系统，所述系统包括：位于第二内容分发网络 CDN2的安全功能装置 SF2和位于第一内容分发网络 CDN1的安全功能装置 SF1 ; 所述 SF2, 用于接收来自所述 SF1 或终端的业务请求；获取由内容提供商 CP提供的认证参数和令牌，所述 CP与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2签约；根据所述认证参数和令牌对所述 CP进行认证；根据认证结果，向所述 SF1或所述终端返回业务响应。

本发明实施例的方法、装置与系统，当 CP与 CDN1签约、 CDN1与 CDN2签约，而 CP未与 CDN2签约时，由 CDN2获取 CP的认证参数和令牌，并根据获取的认证参数和令牌对所述 CP进行认证，保证了 CDN1和 CDN2之间互通的安全性，使 CDN2只为和 CDN1签约的 CP提供服务。附图说明

图 1为现有技术采用 C-S模式由 CP/SP的内容源服务器为终端提供内容服务的示意图；

图 2为现有技术采用 CDN系统为终端用户提供内容服务的网络模型图；

图 3为本发明实施例的 CDN系统功能架构图；

图 4为本发明实施例的典型应用场景图；

图 4a为本发明实施例实现 CDN互通的认证方法流程图；

图 4b为本发明实施例实现 CDN互通的认证装置功能框图；

图 4c为本发明实施例实现 CDN互通的认证系统连接关系示意图；图 5为本发明实施例 CDN2对 CP的认证流程图之一；图 6为本发明实施例 CDN2对 CP的认证流程图之二；

图 7为本发明实施例 CDN2对 CP的认证流程图之三；

图 8为本发明实施例 CDN2对 CP的认证流程图之四；

图 9为本发明实施例 CDN2对 CP的认证流程图之五；

图 10为本发明实施例 CDN2对 CP的认证流程图之六。具体实施方式

本发明实施例提供了一种实现 CDN 互通的认证方法、装置和系统。 CDN互通可以促进 CDN系统之间的能力互补，如覆盖能力的扩展，以及 CDN系统流量增大时的负荷分担等。安全是 CDN互通的关键问题之一，当 CDN2和 CDN1互通时，必须确保 CDN2只为与之存在互通关系的 CDN1 提供服务。本发明实施例的技术方案，可以解决 CDN互通时的安全性问题，促进不同 CDN系统之间的互通。

本发明实施例的 CDN系统功能架构如图 3所示。

( 1 ) 内容源： Content Source (CS )

存储原始内容，并把内容传送到 CDN系统。 CP/SP可以自己部署内容源，也可以选择把内容存储在第三方存储系统。

存储在内容源的内容可以通过内容注入过程注入到 CDN系统（更具体些，是注入到内容存储实体，或者内容交付实体）。 CDN系统也可以在必要的时候主动向内容源请求内容。

(2) 存储控制： Storage Controller

存储控制选择合适的内容存储从内容源获取内容；以及选择合适的内容交付从指定的内容存储获取内容。

存储控制的功能具体包括：了解内容存储的负载状态，如 CPU使用率、内存使用情况、输入输出带宽情况；了解内容存储的能力信息，如支持的内容注入协议（如 HTTP, FTP) , 内容分发协议（HTTP, FTP) 等；负责内容请求的路由，如内容注入请求，内容分发请求等。 (3 ) 交付控制： Delivery Controller

交付控制选择内容交付实体为终端传送媒体内容。

交付控制实体的功能具体包括：了解内容交付的负载状态，如 CPU使用率、内存使用情况、输入输出带宽情况；了解内容交付的能力信息，如支持的内容注入协议（如 HTTP, FTP) , 内容交付协议（如 RTSP, HTTP, SilverLight, Flash)等；负责内容相关请求的路由，如内容注入，内容分发。

(4) 内容路由： Content Route (CR)

本发明实施例中，将存储控制和交付控制统称为内容路由。为了简化起见，本发明下述实施例中，内容路由不具体区分为存储控制和交付控制，只采用内容路由实体描述相关实施例。

(5 ) 安全功能： Security Fucntion ( SF)

本发明实施例中，安全功能是一个逻辑功能实体，可以位于控制层，或者资源层。可以独立设置，或者集成到内容路由或内容交付实体中。

SF的功能具体包括： CP安全信息（如共享密钥，认证方法等）的管理； CP安全信息的传递，比如 CDN1的 SF1传递 CP的安全信息给 CDN2的 SF2; 完成对 CP的认证，或者说对 CP特定门户的认证；可选地，还包括 CDN 之间的认证，比如 CDN2认证 CDN1是签约的 CDN。

(6) 内容存储： Content Storage (CSG)

CSG从内容源获取、存储原始内容，并分发给内容交付实体；可选地， CSG还可以对内容进行预处理，如内容分片，转码。

(7) 内容交付： Content Delivery (CD)

CD从内容存储获取内容，并分发给终端；可选地， CD还可以对内容进行码率转换，文件格式转换，分片等处理。

本发明实施例以 2个 CDN互通为例进行说明，该方案适用的典型场景如图 4所示：假设 CDN1覆盖区域 1， CDN2覆盖区域 2。 CP希望在区域 1 和区域 2为用户提供服务， CP只和 CDN1签约， CDN1和 CDN2签约。由于 CP只和 CDN1签约，因此认为内容注入到 CDN1 的内容存储实体。同时，由于 CP只与 CDN1签约，因而内容交付请求先到达 CDN1的内容路由。

CDN系统互通涉及到如下业务流程：内容分发流程，内容交付流程。通过内容分发流程， CDN2从 CDN1获取内容，包括 CDN1向 CDN2推送内容，或者 CDN2向 CDN1请求内容。通过内容交付流程，终端从 CDN2 获取媒体内容。

实施例 1描述了 CDN安全互通的完整流程，实施例 2描述了内容分发流程的安全互通过程，实施例 3-6描述内容交付流程的安全互通过程，实施例 7适用于内容分发以及内容交付流程。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例 1 :

本实施例首先提供一种实现 CDN互通的认证方法，该方法应用于图 4 所示的场景；图 4a为本实施例的方法流程图，如图 4a所示，该方法包括：

S401、 CDN2接收来自 CDN1或终端的业务请求；

S402、CDN2获取由 CP提供的认证参数和令牌，所述 CP与所述 CDN1 签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2签约；

5403、 CDN2根据所述认证参数和令牌对所述 CP进行认证；

5404、 CDN2根据认证结果，向 CDN1或所述终端返回业务响应。可选地， S402具体包括： CDN2从所述业务请求中获取由 CP提供的认证参数和令牌;或者 CDN2从所述业务请求中获取由 CP提供的认证参数，并通过与 CP的认证过程获取由 CP提供的令牌。可选地，所述方法还包括： CDN2接收 CDN1发送的安全信息，所述安全信息至少包括 CP与 CDN1的共享密钥；相应地， S403具体包括： CDN2 根据所述认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。

可选地，当 CDN1没有将安全信息下发给 CDN2时， S403具体包括：

CDN2将所述认证参数和令牌提供给 CDN1 , 由 CDN1根据 CP与 CDN1的共享密钥、所述认证参数和令牌对所述 CP进行认证；并接收由 CDN1返回的认证结果。

可选地，所述方法还包括： CDN1与 CDN2之间通过安全网关进行协议和 /或消息格式的转换。

可选地，所述方法的执行主体为： CDN2中的安全功能装置。

对应于图 4a的方法，本实施例还提供一种实现 CDN互通的认证装置，所述装置位于第二内容分发网络 CDN2中；图 4b为该装置的功能框图，如图 4b所示，该装置 40包括：接收单元 401，用于接收来自 CDN1或终端的业务请求；获取单元 402，用于获取由 CP提供的认证参数和令牌，所述 CP 与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2 签约；认证单元 403，用于根据所述获取单元获取到的认证参数和令牌对所述 CP进行认证；发送单元 404，用于根据所述认证单元的认证结果，向 CDN1 或所述终端返回业务响应。

可选地，所述获取单元 402，具体用于从所述业务请求中获取由 CP提供的认证参数和令牌；或者从所述业务请求中获取由 CP提供的认证参数，并通过与 CP的认证过程获取由 CP提供的令牌。

可选地，所述接收单元 401，还用于接收 CDN1发送的安全信息，所述安全信息至少包括 CP与 CDN1的共享密钥；相应地，所述认证单元 403，具体用于根据所述获取单元获取到的认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。可选地，当接收单元 401未从 CDN1接收到安全信息时，所述认证单元 403，具体用于将所述认证参数和令牌提供给 CDN1 , 由 CDN1根据 CP 与 CDN1 的共享密钥、所述认证参数和令牌对所述 CP进行认证；接收由 CDN1返回的认证结果。

对应于图 4a的方法以及图 4b的装置，本实施例还提供一种实现 CDN 互通的认证系统，所述系统应用于图 4所示的场景；图 4c为本实施例系统连接关系示意图。

如图 4c所示，本实施例的系统包括：位于 CDN2的安全功能装置 SF2 和位于 CDN1的安全功能装置 SF1 ; 所述 SF2 , 用于接收来自 SF1或终端的业务请求；获取由 CP提供的认证参数和令牌，所述 CP与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2签约；根据所述认证参数和令牌对所述 CP进行认证；根据认证结果，向 SF1或所述终端返回业务响应。

可选地，所述 SF2, 具体用于从所述业务请求中获取由 CP提供的认证参数和令牌；或者从所述业务请求中获取由 CP提供的认证参数，并通过与 CP的认证过程获取由 CP提供的令牌。

可选地，所述 SF2, 还用于接收 CDN1发送的安全信息，所述安全信息至少包括 CP与 CDN1的共享密钥；根据所述认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。

可选地，所述 SF2, 还用于将所述认证参数和令牌提供给 SF1 , 由 SF1 根据 CP与 CDN1的共享密钥、所述认证参数和令牌对所述 CP进行认证；并接收由 SF1返回的认证结果。

可选地，所述系统还包括：位于 SF1和 SF2之间的安全网关（图中未示）；所述安全网关，用于实现 CDN1与 CDN2之间的协议禾口 /或消息格式转换。

本发明实施例的方法、装置与系统，当 CP与 CDN1签约、 CDN1与 CDN2签约，而 CP未与 CDN2签约时， CDN2通过获取 CP的认证参数和令牌，实现了 CDN2对 CP进行认证，保证了 CDN1和 CDN2之间互通的安全性，使 CDN2只为和 CDN1签约的 CP提供服务。实施例 2: 本实施例基于图 4的场景，实现了内容分发过程中 CDN2对 CP的认证。该场景下， CDN1 根据特定分发规则主动进行内容分发即主动把内容从 CDN1推送到 CDN2。具体认证过程如图 5所示：

S500、安全功能装置 SF1下发安全信息给安全功能装置 SF2。

安全信息具体内容取决于 CP和 CDN1共享的安全信息，包括认证方式， CP与 CDN1之间的共享密钥，认证方案等。

CDN1和 CDN2可能有多个签约，比如对应不同的 CP各自有不同的签约，或者同一个 CP下有多个不同的签约。一般采用 CDN标识和签约标识来标识这些签约，因而与安全信息同时下发的还可以有 CDN标识 (CDN ID) 和签约标识（Profile ID)。 CDN2通过 CDN标识和签约标识，可以唯一标识某个特定 CDN的特定签约。

认证方式有对称密钥认证和非对称密钥认证两种。当采用对称密钥认证方式时，安全信息中的密钥为 CP和 CDN1的共享密钥。当采用非对称密钥（公钥）认证方式时，安全信息中的密钥为 CP的公钥。本实施例以共享密钥为例进行说明。

认证方案对应于不同的摘要算法，如 MD5 (消息摘要 5)， SHA1 (安全散列算法 1 )，或者其他摘要算法。

本发明实施例可以把安全信息作为签约信息的一部分，签约信息存储签约双方的服务约定以及必要的共享信息，是服务的基础。本发明实施例的签约信息示例如下： CDN标识、签约标识、安全信息（认证方式，密钥，认证方案），以及其他签约信息。本发明实施例的签约信息和安全信息也可以采用其他组织方式，这些组织方式并不影响本方案的实现。 5501、内容路由装置 CR1发送业务请求给 SF1。

以 HTTP请求为例，该业务请求消息的 URL示意如下：

http：〃 www. sina.com/movie/hero.flv。其中 www. sina.com为域名。

为了实现特定的业务，业务请求消息还可能通过 URL, HTTP消息头域或者消息体携带其他业务特定的参数，本发明实施例对此不做限定。

5502、 SF1发送业务请求给 SF2，其中携带认证参数。

该歩骤可以具体包括：

A、 SF1收到业务请求消息后，如果判断该请求来自签约的 CP则进行后续流程，否则拒绝该请求；

B、如果该请求来自签约的 CP, SF1进一歩判断该请求消息是否已经携带了令牌；

C、如果已经携带， SF1可以执行：子歩骤 1 ) 直接转发该业务请求给 SF2; 或者子歩骤 2)增加新的认证参数，如 CDN ID和 /或 Profile ID, 重新计算令牌，然后发送修改后的业务请求给 SF2。

D、如果未携带令牌， SF1直接执行子歩骤 2)。

本实施例的认证参数包括：请求 URIJ域名， CDN标识，签约标识，认证方式，认证方案。其中签约标识，认证方式，认证方案可选。

令牌由认证参数和密钥计算获得。以 SHA1 为例，令牌 =SHA1 (请求 URL/域名， CDN 标识，签约标识，认证方式，认证方案，密钥）。其中签约标识，认证方式，认证方案可选。

计算令牌时，可以采用 URL，或者 URL中的域名。

以 HTTP请求为例，该业务请求消息 URL示意如下，其中 TOKEN为令牌：

http：〃 www.sina.com/movie/hero.flv?CDNID=1234&ProfileID=5678&Aut hMode=l &AuthAlgorithm=l &TOKEN=abcdefl23456.

具体实现时，上述信息的携带方式不限。比如认证参数也可以作为令牌的部分内容。同时，可以用消息头域来携带令牌。

5503、 SF2对业务请求进行认证。

SF2根据CDN ID禾B/或Profile ID，确定对应的安全信息。 SF2根据安全信息中的密钥，以及业务请求中的认证参数计算令牌；比较新计算的令牌和业务请求中携带的令牌是否一致；如果一致，则认证通过，否则认证不通过。

5504、 SF2根据认证结果，发送业务请求给 CR2。

5505、 CR2返回业务响应给 SF2。

CR2 针对不同的业务请求执行不同的处理，具体处理取决于运营商策略，本发明实施例对具体的处理过程不做限定。

5506、 SF2发送业务响应给 SF1。

5507、 SF1发送业务响应给 CR1。

本实施例中， CDN1携带 CP认证所需要的认证参数和令牌， CDN2根据认证参数以及与 CDN1共享的密钥重新计算令牌，通过比较生成的令牌和收到的令牌是否一致，进而完成对 CP的认证。实施例 3: 本实施例基于图 4的场景，实现了内容交付过程中 CDN2对 CP的认证，具体认证过程如图 6所示：

5600、安全功能 SF1下发安全信息给 SF2。该歩骤的具体过程参见图 5 的 S500。

5601、终端浏览 CP的某个导航门户，在 CP返回的响应消息中，携带认证参数和令牌。

认证参数和令牌可以通过 URL返回，例如：

www.sina,com/mo\'ie/toO,'flv?CDNID=1234&ProfiteID==5678&C】ie:ntID== 10.144.111.11 & AutliMode^ 1 & AuthAlgorithm= 1 &TOKEN=abcdef 123456。

认证参数包括：请求 URIJ域名， CDN标识，签约标识，客户端标识，认证方式，认证方案。其中 CDN标识，签约标识，客户端标识，认证方式，认证方案可选。

具体到上述响应消息： www. sina.com/mo vie/hero. flv为请求 URL, 其中 www.sina.com为域名; 1234为 CDN标识; 5678为签约标识; 10.144.111.11 为客户端标识，此处以 IP 地址为例； AuthMode=l 代表认证方式， AuthAlgorithm=l代表认证方案。 TOKEN是计算所得到的令牌。

这里认证参数增加了客户端标识。通过增加该标识，可以防止其他客户端重发该消息。 CP门户可以把浏览请求消息的 IP地址作为客户端标识。

令牌根据认证参数，密钥计算得来。以 SHA1 为例，令牌 =SHA1 (请求 URL/域名， CDN标识，签约标识，客户端标识，认证方式，认证方案，密钥）。其中 CDN标识，签约标识，客户端标识，认证方式，认证方案可选。

S602-S603: 终端向 CR1发起业务请求， CR1通过业务响应消息通知终端将业务请求重定向求到 CR2。

所述请求携带认证参数和令牌。以 HTTP请求为例，该业务请求消息示意如下：

http：〃 www.sina.com/movie/hero.flv?CDNID=1234&ProfileID=5678&Clie ntID= 10.144.111.11 & AuthMode= 1 & AuthAlgorithm= 1 &TOKEN=abcdef 12345 6.

认证参数包括：请求 URIJ域名， CDN标识，签约标识，客户端标识，认证方式，认证方案。其中 CDN标识，签约标识，客户端标识，认证方式，认证方案可选，如果 CP门户上有，可以携带。

所述令牌根据认证参数，密钥计算得来。以 SHA1 为例，令牌 =SHA1 (请求 URL/域名， CDN标识，签约标识，客户端标识，认证方式，认证方案，密钥）。其中 CDN标识，签约标识，客户端标识，认证方式，认证方案可选。这里认证参数增加了客户端标识。由于不同客户端的 IP或者 MAC地址不同，通过增加该标识，可以防止其他客户端重发该消息。客户端地址可以采用 IP地址或者 MAC地址。

本实施例可以采用 URL，或者 URL 中的域名来计算令牌，以 SHA1 为例，令牌 =SHA1 (请求 URL/域名， CDN标识，签约标识，客户端标识，认证方式，认证方案，密钥）。

S604、终端发送业务请求信息到 CR2。

终端根据 S603 中收到的业务响应消息，向 CR2发起业务请求。业务请求携带认证参数和令牌。

S605、 CR2发送业务请求给 SF2，业务请求携带认证参数和令牌。

S606、 SF2认证业务请求，返回业务响应给 CR2。

具体地，该歩骤可以包括：

A、 SF2根据 CDNID禾或 ProfilelD, 确定对应的安全信息。如果认证参数中没有携带 CDNID和 ProfilelD, 可以根据 CP域名确定对应的安全信息；

B、 SF2根据安全信息中的密钥，以及业务请求中的认证参数，计算令牌；比较新计算的令牌和业务请求中携带的令牌是否一致，如果一致，则认证通过，否则认证不通过；

C、认证成功后，返回业务响应。

S607、 CR2返回业务响应给终端。

本发明实施例的方案，当在 CDN1 已经下发安全信息给 CDN2的情况下， CDN2从安全信息中获得密钥，以及从业务请求中获得由 CP提供的认证参数和令牌，对 CP进行认证。此时 CP只需和 CDN1有签约关系，只需要了解 CDN1 的系统即可，如配置，报表系统等。该方案大大简化了 CP 的工作。实施例 4: 本实施例基于图 4的场景，实现了内容交付过程中 CDN2对 CP的认证，本实施例假设 CDN1没有下发安全信息给 CDN2。因而 CDN2需要和 CDN1 进行交互，完成对业务请求的认证。具体认证过程如图 7所示。

S701-S704同实施例 2的 S602-S605。

同实施例 2—样，本实施例中 S701中终端发送的业务请求中的认证参数和令牌也是由 CP获取，具体过程参见实施例 2中对 S601的相关描述，此处不再展开描述。

其中，歩骤 S702中， CR 1可以在重定向消息中增加 CDN 1的路由信息，以便歩骤 S705中 SF2能够把业务请求发送给 CDN1。路由信息可以直接携带 SF1的 URL或者 IP地址；或者携带 CDN1标识和 /或签约标识，以便 SF2 根据标识确定路由的目的地，例如从本地配置信息中获取 SF1的 URL或者 IP地址。

5705、 SF2发送业务请求给 SF1。

SF2可以根据消息中的路由信息，确定向哪个地址发送业务请求消息。如 S702所述。

本实施例示意 SF2直接发送业务请求消息给 SF1 , 该消息也可以经过 CR1转发。

5706、 SFl认证业务请求，返回业务响应给 SF2。

具体地，该歩骤可以包括：

A、 SFl根据 CDNID禾或 ProfilelD, 确定对应的安全信息。如果认证参数中没有携带 CDNID和 ProfilelD, 可以根据 CP域名确定对应的安全信息；

B、 SFl根据安全信息中的密钥，以及业务请求中的认证参数，计算令牌；比较新计算的令牌和业务请求中携带的令牌，如果一致，则认证通过，否则认证不通过；

c、认证成功后，返回业务响应。本发明实施例的方法，在 CDN1没有下发安全信息给 CDN2的情况下，通过将认证参数和令牌提供给 CDN1，由 CDN1代替 CDN2对 CP进行认证后，向 CDN2返回认证结果，从而实现了 CDN2对 CP的认证。此时 CP只需和 CDN1有签约关系。大大简化了 CP系统运营、维护、统计、监控等工作。实施例 5: 本实施例基于图 4的场景，实现了内容交付过程中 CDN2对 CP的认证。本实施例同样假设 CDN1没有下发安全信息给 CDN2。因而 CDN2需要和 CDN1进行交互，完成对业务请求的认证。具体认证过程如图 8所示：

S801-S804同实施例 2的 S602-S605。

同实施例 2—样，本实施例中 S801中终端发送的业务请求中的认证参数和令牌也是由 CP获取，具体过程参见实施例 2中对 S601的相关描述，此处不再展开描述。

其中 S802中， CR1可以在重定向消息中增加路由信息，以便 S806中 CR2能够把业务请求发送给 CDN1。其中路由信息可以直接携带 SF1的 URL 或者 IP地址，或者携带 CDN2标识和 /或签约标识，以便 SF2根据标识确定路由的目的地，例如从本地配置信息中获取 SF1的 URL或者 IP地址。

5805、 SF2重定向业务请求给 CR2。

5806、 CR2发送业务请求给 SF1。

CR2可以根据消息中的路由信息，确定向哪个地址发送业务请求消息。如歩骤 2所述。

5807、 SF1认证业务请求，返回业务响应给 CR2。

具体地，该歩骤可以包括： A、 SF1根据 CDNID禾或 ProfilelD, 确定对应的安全信息。如果认证参数中没有携带 CDNID和 ProfilelD, 可以根据 CP域名确定对应的安全信息；

B、 SF1根据安全信息中的密钥，以及业务请求中的认证参数，计算令牌；比较新计算的令牌和业务请求中携带的令牌是否一致，如果一致，则认证通过，否则认证不通过；

c、认证成功后，返回业务响应。

S808、 CR2返回业务响应给终端。本发明实施例的方法，在 CDN1没有下发安全信息给 CDN2的情况下，通过将认证参数和令牌提供给 CDN1，由 CDN1代替 CDN2对 CP进行认证后，向 CDN2返回认证结果，从而实现了 CDN2对 CP的认证。此时 CP只需和 CDN1有签约关系。大大简化了 CP的系统运营、维护、统计、监控等工作。实施例 6: 本实施例基于图 4的场景，实现了内容交付过程中 CDN2对 CP的认证，具体认证流程如图 9所示：

S900、 SF1下发安全信息给 SF2。该歩骤同实施例 1的 S500。该歩骤为可选歩骤，而在 CDN1下发安全信息给 CDN2的情况下，可以由 CDN2 完成本地认证，在 CDN1没有下发安全信息给 CDN2的情况下，将由 CDN1 为 CDN2完成认证过程。

S901-S902,终端向 CR1发起业务请求， CR1通过业务响应消息通知终端将业务请求重定向求到 CR2。

请求没有携带令牌。以 HTTP请求为例，该业务请求消息示意如下： http ://www. sina. com/movie/hero . fl v

S903、终端发送请求信息到 CR2。终端根据歩骤 S902中收到的重定向消息，向 CR2发起业务请求。

5904、 CR2发送业务请求给 SF2。

5905、 SF2发送认证请求给 SF1。

SF2判断业务请求中没有携带令牌。 SF2发送认证请求给 SF1 , 可选地该认证请求中可以携带 SF2构造的认证参数。以 HTTP POST为例：

http：〃 www.sina.com/movie/hero.flv?CDNID=1234&ProfileID=5678&Aut hMode= 1 & AuthAlgorithm= 1.

这里 CDN ID为 CDN1的标识； Profile ID为 CDN1和 CDN2的签约标识。

上述请求消息的认证参数也可以通过 HTTP消息头域，或者消息体（如

XML) 携带。

具体路由同前述的实施例 S701-S704的描述。

5906、 SF1发送认证请求给内容运营商 CP (具体为内容运营商的安全实体）。

以 HTTP POST为例：

http ://www. sina. com/mo vie/hero .flv?CDNID= 1234&ProfileID=6789&Aut hMode= 1 & AuthAlgorithm= 1.

SF1把 Profile ID替换成 CDN1和 CP之间的签约标识。如果 CDN1下发给 CDN2的安全信息中，直接使用 CP和 CDN1之间的签约标识，则此处 SF1不用替换签约标识的值。

上述请求消息的认证参数也可以通过 HTTP消息头域，或者消息体（如 XML) 携带。

5907、 CP (具体为内容运营商的安全实体）返回认证响应。

CP的安全实体根据认证参数，计算令牌，把令牌携带在认证响应中返回给 SF1。

以 HTTP为例：

HTTP/1.1 200 OK Authorization: response=abcdefl 23456.

认证响应消息可选携带认证参数，同认证请求中收到的认证参数。其中，认证参数，令牌也可以通过 HTTP消息头域，或者消息体（如 XML) 携带。

S908、 SF1进行本地验证，该歩骤为可选歩骤，如果执行 S900则不需要执行此歩骤而是执行 S910, 反之则需要执行此歩骤。具体地， SF1根据认证参数和共享密钥生成令牌，比较生成的令牌与从 CP返回的令牌是否一致，如果一致则认证通过。

5909、 SF1返回认证响应给 SF2。如果 S908不执行，则该歩骤也省略。该消息同 S907中的认证响应消息。

5910、 SF2进行本地验证，该歩骤为可选歩骤，如果执行 S900则需要执行此歩骤，反之则执行歩骤 S908。 SF2根据认证参数和密钥，计算令牌，将计算生成的令牌和从 CP返回的令牌进行比较。如果一致，则认证通过；否则认证不通过。

S91 SF2返回业务响应给 CR2。

如果认证通过， SF2返回 200 OK; 否则返回 401(未授权)。

S912 CR2返回业务响应给终端。

该实施例中， SF2通过 SF1向 CP (具体为内容运营商的安全实体）发送认证请求。 SF2也可以直接发送认证请求给 CP。

另外， S912中， SF2也可以返回 401 (未授权）给 UE。 UE向 CP发送认证请求，并转发 CP返回的认证响应给 SF2， SF2对返回的认证响应进行验证。

本实施例中，当业务请求未携带令牌时，通过发起一个 CP的认证请求获得 CP响应的令牌信息，使 CDN2能够根据获取的认证参数和令牌信息对 CP进行认证。通过上述过程，实现了 CDN2对 CP的认证，此时 CP只需和 CDN1有签约关系，大大简化了 CP的系统运营、维护、统计、监控等工作。

实施例 Ί: 本实施例基于图 4的场景，实现了 CDN2对 CP的认证，其中 CDN1 和 CDN2采用不同安全方案，通过网关互通。本实施例的方法既可以用于内容分发过程，也可以适用于内容交付过程。

当 CDN1和 CDN2处理的业务请求 /业务响应不同，例如采用的协议不同，或者消息内容不同，可以通过安全网关，进行请求 /业务响应的转换。从而顺利完成业务请求的认证。同理，当 CDN1和 CDN2处理的认证请求 / 认证响应不同，也可以通过安全网关转换。安全网关具体实现时，可以作为安全功能的一部分来实现。

本实施例的具体认证流程如图 10所示：

S100 SF2发送业务请求给安全网关。

51002、安全网关处理收到的业务请求。

安全网关验证业务请求是否合法，并转换该业务请求为 SF1可以处理的格式。

51003、安全网关发送转换后的业务请求给 SF1。

51004、 SF1返回业务响应给安全网关。

SF1认证收到的业务请求，返回业务响应，业务响应携带令牌。具体认证过程参见上述实施例中安全功能的认证过程。

51005、安全网关处理收到的业务响应。

安全网关验证业务响应是否合法，并转换该业务响应为 SF2可以处理的格式。

51006、安全网关发送转换后的业务响应给 SF2。

安全网关对认证请求和认证响应的处理过程相同，详见 S1101-S1106, 此处不再赘述。

本实施例可以适用于上述所有实施例。本发明实施例技术方案带来的有益效果：当 CP与 CDN1签约、 CDN1 与 CDN2签约，而 CP未与 CDN2签约时，由 CDN2获取 CP的认证参数和令牌，并根据获取的认证参数和令牌对所述 CP进行认证，保证 CDN1和 CDN2之间互通的安全性，保证 CDN2只为和 CDN1签约的 CP提供服务。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体 (Read-Only Memory, ROM)或随机存储记忆体 ( Random Access Memory, RAM) 等。

以上实施例仅用以说明本发明实施例的技术方案，而非对其限制；尽管参照前述实施例对本发明实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的范围。

Claims

权利要求

1、一种实现 CDN互通的认证方法，其特征在于，所述方法包括：第二内容分发网络 CDN2接收来自第一内容分发网络 CDN1或终端的业务请求；

所述 CDN2获取由内容提供商 CP提供的认证参数和令牌，所述 CP与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2 签约；

所述 CDN2根据所述认证参数和令牌对所述 CP进行认证；

所述 CDN2根据认证结果，向所述 CDN1或所述终端返回业务响应。

2、根据权利要求 1所述的方法，其特征在于，所述 CDN2获取由内容提供商 CP提供的认证参数和令牌包括：

所述 CDN2从所述业务请求中获取由所述 CP提供的认证参数和令牌；或者

所述 CDN2从所述业务请求中获取由所述 CP提供的认证参数，并通过与所述 CP的认证过程获取由所述 CP提供的令牌。

3、根据权利要求 1或 2所述的方法，其特征在于，

所述方法还包括：所述 CDN2接收所述 CDN1发送的安全信息，所述安全信息至少包括所述 CP与所述 CDN1的共享密钥或所述 CP的公钥；所述 CDN2根据所述认证参数和令牌对所述 CP进行认证包括：所述 CDN2根据所述认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。

4、根据权利要求 1或 2所述的方法，其特征在于，所述 CDN2根据所述认证参数和令牌对所述 CP进行认证包括：

所述 CDN2将所述认证参数和令牌提供给所述 CDN1 , 由所述 CDN1 根据所述 CP与所述 CDN1的共享密钥、所述认证参数和令牌对所述 CP进行认证；并接收由所述 CDN1返回的认证结果。

5、根据权利要求 1所述的方法，其特征在于，所述方法通过所述 CDN2 中的安全功能装置实现。

6、根据权利要求 5所述的方法，其特征在于，所述 CDN2中的安全功能装置通过所述 CDN2中的内容路由装置和 CDN1交互。

7、一种实现 CDN互通的认证装置，其特征在于，所述装置位于第二内容分发网络 CDN2中，所述装置包括：

接收单元，用于接收来自第一内容分发网络 CDN1或终端的业务请求; 获取单元，用于获取由内容提供商 CP 提供的认证参数和令牌；所述 CP与所述 CDN1签约，所述 CDN1与所述 CDN2签约，所述 CP未与所述 CDN2签约；

认证单元，用于根据所述获取单元获取到的认证参数和令牌对所述 CP 进行认证；

发送单元，用于根据所述认证单元的认证结果，向所述 CDN1或所述终端返回业务响应。

8、根据权利要求 7所述的装置，其特征在于，

所述获取单元，具体用于从所述业务请求中获取由所述 CP提供的认证参数和令牌；或者从所述业务请求中获取由所述 CP提供的认证参数，并通过与所述 CP的认证过程获取由所述 CP提供的令牌。

9、根据权利要求 7或 8所述的装置，其特征在于，

所述接收单元，还用于接收所述 CDN1发送的安全信息，所述安全信息至少包括所述 CP与所述 CDN1的共享密钥或所述 CP的公钥；

所述认证单元，具体用于根据所述获取单元获取到的认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。

10、根据权利要求 7或 8所述的装置，其特征在于，

所述认证单元，具体用于将所述认证参数和令牌提供给所述 CDN1 , 由所述 CDNl根据所述 CP与所述 CDNl 的共享密钥、所述认证参数和令牌对所述 CP进行认证；接收由所述 CDN1返回的认证结果。

11、一种实现 CDN互通的认证系统，其特征在于，所述系统包括：位于第二内容分发网络 CDN2的安全功能装置 SF2和位于第一内容分发网络 CDN1的安全功能装置 SF1 ;

所述 SF2, 用于接收来自所述 SF1或终端的业务请求；获取由内容提供商 CP提供的认证参数和令牌，所述 CP与所述 CDN1签约，所述 CDN1 与所述 CDN2签约，所述 CP未与所述 CDN2签约；根据所述认证参数和令牌对所述 CP进行认证；根据认证结果，向所述 SF1或所述终端返回业务响应。

12、根据权利要求 11所述的系统，其特征在于，

所述 SF2,具体用于从所述业务请求中获取由所述 CP提供的认证参数和令牌；或者从所述业务请求中获取由所述 CP提供的认证参数，并通过与所述 CP的认证过程获取由所述 CP提供的令牌。

13、根据权利要求 11所述的系统，其特征在于，

所述 SF2, 还用于接收所述 CDN1发送的安全信息，所述安全信息至少包括 CP与 CDN1的共享密钥；根据所述认证参数和所述共享密钥生成令牌，比较生成的令牌与获取的令牌是否一致，如果一致则认证通过。

14、根据权利要求 11所述的系统，其特征在于，

所述 SF2, 还用于将所述认证参数和令牌提供给所述 SF1 , 由所述 SF1 根据所述 CP与所述 CDN1的共享密钥、所述认证参数和令牌对所述 CP进行认证；并接收由所述 SF1返回的认证结果。

15、根据权利要求 11所述的系统，其特征在于，所述系统还包括：位于所述 SF1和所述 SF2之间的安全网关；

所述安全网关，用于实现所述 CDN1与所述 CDN2之间的协议禾或消息格式的转换。